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Jachtseizoen 


J ^ren gclcclen wercl al beweerd dat I.inux geen garantre biedt om van virussen en wormen veriest te 
blijven. De reden: de zich opstapelende beveiligingsproblemen, van de Apache-worm Slappcr cn 
een BIND-exploit tot aan het vetligheidsgat in de SSH-daemon. Onderlussen hebben echter zowel de 
mensen van Microsoft als de ontwikkelaars van bet vrije bestLiringssysteem bet voor kwaadwiltige hac¬ 
kers een stuk lastiger gemaakt* 

VcK)ral Microsoft heeft m sterk aan tie veibgheidspmblemen van Windows gewerkt, dat de hackers nu 
hun 'vei-zorgende taak' meer naar Linux verlegd hebben. Logiscb want ook als hacker wil je irnmers 
scoren. Gevolg is, dat je daardoor nauwelijks meer een uitspraak kunt docn over wat nu het veiligste 
systeem is. 

In deze discussie mis je het vaak opgehemelde Mac OS X. Applc-gcbmikcrs levcn immers op een soort 
eilandjc, on konden volledig onbevrecsd op alles klikken wat maar klikbaar is zonder bang te zijn dat ze 
met de volgende klik bun systeem wel eens vreselijk zouden kunnen vernachelen. Toch kwam ook 
Apple met een lieie reeks veiligheidsupdates voor Mac OS X cn word cr op het congres van de Chaos 
Computer Club cen paper gepresenteerd met de titel 'Practical Mac OS X Insecurity'. De daarin 
genoemde bedreiglngen veretsen wel dat je fysieke toegang tot de apparaten hebt of dat je heel gericht 
je aanval op een bepaalde machine uitvoeit: Deze aanvallen zijn daarbij bovendien sncl oplosbaar door 
een aanlal wijzigingen aan dc systcemconnguratie. Daarnaast vereist een gerichte aanval via het 
netwerk dat je gebruik maakt van veiligheidslekken die Mac OS X met de rest van de wereld deck, 
zoals in Apache, SSI I etc. De Apple is op dat gebied dus net 20 veiiig als dc rest. 

Mac OS X is voorzien van een root-account, die ntet mag inloggen* Terwijl je op een Mac ook gewoon 
je dagetijkse werkzaamheden kunt uitvoeren zonder admin-rechten. De administrator kan overigens wcl 
software installeren, ip-adressen wijzigcn cn zo, maar hij kan niet schrijven in ietc, Hier scoort de Mac 
dus duidelijk beter. 

VoorMac-gebruikers waren virussen en wormen tot voor kort allcen maar iets 'van horen zeggen’. Het 
aanlal anli-virusprogramma'.s voor Mac OS is dan ook op een hand te tellen en als ze al zijn geinstal- 
leerd zijn ze meestal bedoeld oni het doorsturen van Windows-virussen via mail te voorkomen/l'cn- 
minste, dat vinden de Mac-gebruikers en -behcerders. 

Sinds medio februari is het met deze rust echter gedaan, Er werd toen een worm ontdekt die gebruik 
maakt van lets te slappe veiligheidsinstellingen in Safari, Ook werd aangetcKmd dalccn jpeg-bestand, 
dal in werkclijkhcid cen kwaadwiilend .script was, uitgevoerd kon worden door er op te klikken. Zo'n 
cenvoudig Ick verwachi je toch niet op een Apple-systeem? Nog minder bekend is een proof of concept 
over verstopte code in mp3-bestanden, die in het voorjaar van 2004 gcpublicecrd is. 

Dc genoemde 'malware' heeft weliswajir 'slechts' toegang tot de data van de zojuist aangemelde gebrui- 
ker, maar deze kan met het herstel eiwan langer bezig zijn dan een restore van het OS. Als je daarbij 
bedenkl dat Apple net overstapt naar de InteLarchitectuur, begrijp je opeens dat het nu voor veel meer 
mensen mogelijk is om een stack overflow onder Mac OS X te 'gebruiken' om de boel open te breken. 
Hiervoor is wel uitgebreide kennis van de architectuur noodzakelijk maar voor een becljc hacker is dal 
op Intel lang niet zo mocilijk. 

Het valt dan ook te verwachten dat het niet meer bij een paar wormen en 
virussen zal blijven op dc Mac met OS X. En daarmcc valt (x>k het laatste 
OS-bastion ten prooi aan de vijand: ik verklaar hierbij het jachtseizoen dan 
ook officieel voor geopend. 
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Tutorial: Linux Server Tuning 

Elke goede systeembeheerder wil precies weten wat hij doet. Speciaal 
voor hen legt iX doorom niet alleen uit hoe je Linux moet opfimoliseren, 
moor laten we in deze tutorial ook zien hoe je performoncebottlenecks 
kunt meten. Als het om dit soort bottlenecks goat, heeft Unix een hele 
reputatie hoog te houden, woordoor je soms veel geld op nieuwe hord- 
wore kunt besporen. 


Vergeet RAID 5 

Als bij de gangbore 
RAID 5-sysfemen een 
horde schijf het 
loodje legt, sneuvelt 
tegelijk doormee ook 
meteen de redundon- 
tie -een scenario 
dot vooral bij 
gebruik von goed- 
kope SATA-schiiven 
niet onwoarschijntijk 
is. Do orom bteden 
steeds meer produ- 
centen von 'Redun¬ 
dant Arrays of Inexpensive Disks' controllers en schijfsystemen met 
een hogere redundance. iX nam er een poor onder de loep. 
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REVIEW 


Java-IDE's en Maven 2 



De Javo-wereld wordt 
behoorlijk opgeschud 
door een drietal grotis 
ontwikkelomgevingen. 

Wij hebben deze loten 
oantreden tegen drie com- 
merciele varianten. Ook 
nieuw is de buildfool 
Maven 2, de opvolger 
van Ant, woaraan [arenlang is gewerkt, De Nederlandse ontwikke- 
laar Kenney Westerbof, die direct betrokken is bij het Apache-Maven- 
project beschrijft de laatste ontwikkelingen, 


pag 50, 56 



Sterrenslag 


In de vorige tX kwam 
(let programme Asterisk 
als interne VolP-telefoon- 
centrole ol aan bod. Dit 
keer goat fiet mes er 
dieper in: deel 2 en 3 
van onze tutorial gaan 
over ISDN, VoIP, AGI- 
scripts en het bouwen 
van netwerken van meerdere Asterisk-systemen. pog 1 00, 1 06 


Van IPv4 naar IPv6 



Internet stapt maar langzaom over op IPv6, Als je een volledige IPv6- 
omgeving in je eigen netwerk wilt bouwen, is een brug naar de IPv4- 
wereld noodzokelijk. Daarbij komen dan natuurlijk ook de nodige vei- 
ligheidsproblemen om de 
hoek kijken. Maar als je 
een notebook hebt en veel 
op reis bent, kan het zelfs 
interessont zijn om je ver- 
binding naar huis met IPv6 
en OpenVPN te tunnelen. 


TrintJy kan upgraden noor v4 36 

8 RAVD^stemen getest 

Mef hogere pariteft 38 

Sun V40z-r5erver 

Ook nieuw; Studio 11 en Solaris 10 1/06 46 

Maven 2 

Opvolger vort de Java-buildtool Ant 50 

6 Jovo IDI's vergeleken 

Eclipse, IntelliJ, NefBeans, JButlder, 
JDeveloper, RciHonaf 56 


REPOftVAGE 


NAC/NAP 

Nieuwe veiligheidsconcepten van MS en 


Cisco 63 

Xsan/SlorNext 

Beheren van superveel dolo 68 

USB 

USB’Sticks en bedrijfsgelieimen 71 

Sproaksystemen 

De stand von zaken 78 


.NET Frantewerk 2.0 

Veranderingen in de klassenbibliotheek 


C* 3.0 

Lambdo-expressies, extension methods 


82 

88 


PRAKTIIIC 


VMwore Server 

Onder Windows 92 

Onder Linux 96 

Asterisk-Moriol 

Deel 2: ISDN-verbindtng koppelen 100 

Deel 3: Asterisk netwerken opzetlen, VoIP 106 

ISONisiuipelerdanXML 

Ajax metJSON versus XML 1 1 1 


Hoe je een brug naor IPv4 maakt 114 

OpeiiVPN 

Tunneir IPv6 120 

E-maiJ met Amavis 

Spam en vimsen komen er niet in 124 


RUBRIEKEN 


Editoriol 3 

Colofon 129 

Vooruitblik f30 


iX 3/2006 


5 




















MARKT & TRENDS 


Algemeen nieuws 


Nieuwe rootkitscanner: RAIDE 


Op de Black Hat Europe 
Briefings 2006 in Amsterdam 
hebhen Peter Silbcrman en 
Jamie Butler hun nieuwe 
anii-rootkitsoftware voor 
Windows vcxir hot cerst laten 
zien. RAIDE onderseheidt 
zich doordnt het overgeno- 
men APl-h(K>ks dctecteeit en 
programma’s die zich/elf on- 
zichibaar rnaken weer zicht- 
baar maaku Het kan boven- 


dicn verdachtc processen 
‘dumpen’ vtxir analyse, dc 
door deze processen overge- 
nomen APl-hooks herstellen 
en de stealIh-pnjgramrna’s 
afsi u iten. An dere an t i -rool- 
kiLscanners zoals BlackLight 
en RtKnkilRevcalcr (bespro- 
ken in iX 2), maar ook tooh 
ais RKDetector, VICE, SVV 
en SDTRcstore kunnen dil 
niet. RAIDE kan overigens 


Nieuwe Java-releases onderweg 


In februari heeft Sun drie 
bctavcrsics van softwam 
V rijgege VC n, die rede 1 ij k 
onopgemerkt zijn gebleven. 
Het gaat tim dc betaversie 
van Java Standard Edition 6 
(‘Project Mustang’) en om 
ecn preview van dc Java 
Enterprise Edition 5 SDK, 
die grotendeels is gebaseerd 
op de Glassllsh application 
server en Java SE 6. En dan 
IS er ook nog ecn preview van 
de daar wcer t>p vooi'bereide 
programmeemmgeving Net- 
Beans Enterprise Pack 53. 

Over deze dric releases op 
zich zou jc al ecn bock kun¬ 
nen volschrijvcn, diis we 
zullcn ongetwijfeld meer 
aandacht aan besLeden. Om 
kort met wat buzzwords te 
strooien: zowel Java SE 6 
beta als de Java EE 5 pre¬ 
view bieden een reeks 
nieuwe en uitgcbreide fuiic- 
ties voor web services. 


zoals dc ondcrsteuiiing van 
JAX-WS 2.0 {Java API for 
XML Web Services) en 
JAXB 2.0 (Java Architecture 
for XML Binding, die nu 
tH^k XML Schema en de bin¬ 
ding daarvan met Java-clas- 
scs ondersteunt). Verdcr Is er 
in Java SE 6 meer support 
V(K)r fould tag nose cn moni¬ 
toring van programma’s 
(zelfs DTrace wordt onder- 
steund in de HolSpot JVM 
voor Solaris) en worden 
desktopprogramma’s meer 
gcinlegrcerd in dc tungeving 
waarin ze dratiien. Dit dank- 
zij het JDIC-project (JDesk- 
top Integration Compo¬ 
nents). Sun noemi specitlck 
Windows Vista als een 
ondcrstcund platfonn. Ook 
voorziet Java SR 6 in een 
scripting framework (JSR 
223), waardoor ook sen pit a- 
len als PHP en JavaScript 
code kunnen genereren in 


MiLTosi>rt»security: Voor 
ontwikkelaars stelt Micro¬ 
soft tegen zo’n 12 euro ver- 
zendkosten de Developer 
Security Resource Kit 
beschikbaar. Deze be vat 
lips, vuorbe eld code, tools 
voor code-analyse, techni- 
sche artikelen en verdere 
hulp cn kan besteld worden 
op http://msdn.microsoft. 
com/ security/securityres- 
kit/def ault.aspx. 


Ecllpse-ti>oh Informatica- 
hooglerajir Andreas Zeller 
van de Univcrsileit Saarland 
steh op zijn site een tool 
bcschikbaar die aulomatisch 
fouten detectccrt in grtjtc 
CO m pute rprogram m a’s, zo - 
wcl in de hele code als 
in laatste verandcringen. 
De DDChangC'plugin is 
tc dowfiloadcn op www 
.St .cs .u n i - s b .de/ce I i psc/ 


geen intemipt-hooks en dri¬ 
ver IRP-hooks herstellen, en 
kan nict voorkomen dat een 
rootkit wordt geladen. 

Momenteel is RAIDE nog 
nict erg gebruikersvrien- 
delijk, maar dat komt ongc- 
twijfeld nog. Op www .black 
hatxom zijn overigens 
andere presen tat ies van dc 
bijeenkomst in Amsterdam te 
downloadeii. 


een servlet container. De hjst 
highlights van de Java EE 5 
SDK-release is aanzienlijk 
en wordt aangevoerd door de 
ondersteuning van Enterprise 
Java Beans 3.0, .fava Server 
Faces 1.2 en de Java Persis¬ 
tence API. Met name de 
Enterprise JavaBeans 3-stan- 
daard maakt het leveo van de 
ontwikkelaar inakkelijker. 

De nieuwe versie van Net- 
Beans introduceert tenslotte 
round-trip UML modeling, 
kan beier met annotaties 
omgaan en bevaf nieuwe 
tools Voor XML-typen als 
XML Schema en BPEL. 

De betaversie van Java 
SE 6 is te downloaden van 
http://ja va .sun ,eom/javasc/6. 
De definitieve versie zal 
ergetis deze zomer uitkomen . 
Dc Java BR 5 SDK preview 
is te vinden op http://java. 
s LI n .com/ja vaee/do wn load s/i n 
dex.html. 


Toetsenbord voor 
viespeuken 



Genius (www.genius- 
curope.com) komt met ecn 
speciaal ‘gehard' toclsen- 
bord voor gebruik in ruwe 
omgev ingen - en dat geldt 
ook voor werkplekkcn waar 
gebruikers gewend zijn om 
achter hun computer te 
eten en te drinken. De 
Slimstar 310 voert vloei- 
stoffen langs de elektronica 
naar gooljes aan de onder- 
kani van het toetsenbord 
af. Hierdoor is het ook af te 
spoclcn under dc kraan. Je 
kunt het echter beter niet in 
dc afwasniachine sioppen, 
want de bchuizing is niet 
waterdicht. 

Verder is het toeiscn- 
hord voorzien van eon laag 
die de verspreidiug van 
de Slaphylococcus-baeterie 
tegen gaat. Deze bacterien 
worden door huidcontaci 
overgedrageii, bijvoorbeeld 
op werkplekkcn die door 
meerdere personen worden 
gebruikL De Slimstar 310 
(met ush cn adapter voor 
PS/2) zal vanaf mei in dc 
winkel liggen voor € 
21,50, 


Voor kleintjes: Met het 
Mobile Control Center 
van Psion Teklogix kun je 
mobiclc telefoons in maga- 
zijnen of in de buitendiensi 
ccntraal behereo. Het kan 
Windows-CE- en Windows- 
Mobile-apparaten remote 
aansturen en applicaties 
configurcren. Daarnaast 
wordt broadcasting van 
insiant messages onder- 
sLcund. 



Network; Sun heeft Aduva 
opgckochl. Aduva is een 
aunbleder van prcxlucten 
voor hei automatiseren van 
patch- cn net werk man age- 
mem voor zowel single ser¬ 
vers als complexe nelwerken 
van duizenden servers. De 
Active Dependency Service 
van de Califoniische firma, 
waarin under andere IBM 
invcsteer!, draait op Linux- 
en So laris-servers. 
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ALGIMEEN NIEUWS 


Software 


KOffice 1.5 uilgebrachl 



in Krita kun je zelfs andere ODF-documenten ols loog in een 
piciatje embedden, 


De tlesktopomgeving KDL 
(waarvan onlangs vcrsie 
3.5.2 uilkwam) hecft zijn 
eigen Office-toe pass ingen, 
genaamd KOfnee (www. 
koffice.org) nitgebracht. 
Onder de ontwikke- 
laars beviiideii zich ook 
veel Nederlandcrs. Release 
manager Boudewijn Rempt 
is trots op deze release. “Het 
project is flink gegroeid, we 
liebben veel meer feedback 
van gebruikers op de beta- 
versies gehad dan bij a lie 
vorige releases. Er werken 
nu 30 mensen aaii KOI fice, 
twee keer zoveel uls vorig 
jaar. Puur dankzij de inzet 
van vrijwilligers zijn er 
belangrijke verbelcnngen op 
alle gebieden tot stand geko- 
mcn, en we hebben er veel 
plezier aan gehad’\ zegt hij. 

Versic 13 kwam op 11 
april uit. In deze versie slaan 


KWord, KSpread, 
KPresenter en KCharl 
documenten standaard 
up in het OpenDocU' 
merit-formaat (ODl')^ 

Maar ook allc losse 
ondcrdelen van KOf- 
fiee zijn verbeterd. Zo 
is KWord veel sta- 
bicler en u>egankelij" 
ker gewarden. Het da- 
tabase-lrontcnd Kcxi, 
dal met o.a. MySQL, 
PostgreSQL en SQLi“ 
te overweg kan, is 
verbeterd en onder- 
steunt nil Python- 
scripting. De spread¬ 
sheet KSpread heefr 
een nieuwc formulie- 
ren-engine en krachii- 
gere selecties gek re- 
gen. Nieuw is KPlato, cen 
p rojectp I a n n i n g- program m a 
waarmee jc onder andere 
Ganlt-charts knnt maken. 


Het meest opvallend zijn 
echter de verbeteringen in 
Kriia, een tekenprogramma 
met veel potentie dat op 
zijn minst vergelijkbaar is 
met Gimp. Krita bcschiki 
sinds deze release over 
bijna alle mogelijke kleu- 
renriiimten (cmyk, rgb, lab) 
en bet bijbehorende beheer, 
lagen, aanpassingslagen, 
laaggroepen en scripting. 
Daardoor is het geschikt 
voor de professioneJe marki. 

Het werk aan de volgen- 
de versie, KOftice 2.0, is al 


begonnen. Deze wordt 
gebaseerd op Qt4 en inoel 
een sterkere integralic krtj- 
gen op object niveau in 
plants van op documenliii- 
veau. De eerste preview 
volgl in uklohcr of novem- 
ber, en de release naar ver- 
wachting in april 2007. 
Aan importnUers voor MS 
O ff i CG -d<ie Li me n te n word t 
weintg aandacht bestecd, 
onder andere omdai Open- 
Office (dat ook in het ODF- 
formaat opslaat) deze al 
heeft. 
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SGI in de problemen 


OpenMP voor GCC 


Silicon Graphics (SGI) 
krijgt maar geen rust. 
Opnieuw moest de onder- 
neming verlies melden. 
Over het tweede kwaiiaal 
van het boekjaar 2006 vie! 
de omzet met 144 miljoen 
dollar lager uit dan werd 
gehoopt. Onder aan de 
Streep in de balansrekcning 
SEond bovendien een verlies 


van 28 miljoen dollar. Het 
bedrijr moest beleggers 
zelfs waarschuwen dal de 
toekonist niet als zeker 
gezien kan worden. Indien 
nodig gaat het bedrijf zelfs 
uitstel van bcLaling aanvra- 
gen. Al in november 2005 
werd SGI van de index van 
de bears van New York 
verwijdcrd. 


GCC 4.1 is nog maar net 
uil, of versie 4.2 komt er 
al weer aan. In de voor 
mei geplande release zal 
de OjtenMP'Standaard 2.5 
(www.openmp.org) worden 
geintegreerd. 

Dank/ij OpenMP kan C-, 
C++- en Fortran-code gepa- 
ra 11 e 11 i seerd worden vtxt r 
uilvcx:ring op multiplatform 
shared niemory-systemen. 
De enige veraiideringen aan 
de bronctnle die daar- 
v<Hir nodig zijn, zijn enkelc 
#pragma-instructies (C, C++) 
of s pec i ale commentaren 


(Fortran). OpenMP siimu- 
leert op die manier het pro- 
grammeren van modernc 
m u It ithread ed app 1 i c at ies, 
die net zo good gebrulk kun- 
iien maken van Intels hyper¬ 
threading-arch i lee tun r als de 
hoidtge dual core-CPU's of 
mulliprocessorsystemeii. Op 
machines met disiribalcd 
memory helpl OpenMP 
daarenlcgen niet verder: 
voor dusters, grids en derge- 
lijke heb je andere parallelU- 
scnngNtcchnickcn nodig 
zoals MPI (Message Passing 
Interface). 
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MARKT & TIIEMilS 


Diversen 


Alweer uitverkocht con 2006 

EclipseCon 2006 

Net als vorig jaar was de EclipseCon 
2006-conferentie compleet uitverkocht. 

Toch was de capaciteit dankzij een nieuwe 
evenementenruimte in Santa Clara 40% 
groter geworden. 


Jochen Krause 

De waardcring v^>or Eclip¬ 
se als Java-IDE beslaat al lan- 
gcr, maar deze conferentie 
maakte duidclijk dat de 
belangstelling vcxir Eclipse 
boven normale proporties is 
uitgcstcgcn. Dric confeicntie- 
dagen was er een divers pro- 
graniina {140 lezingen, waar- 
van 80 short talks van 9 
minuten) met ondenverpen 
van enibedded-omgevingen 
tot enterprise-thema's. 

De belangrijkste ontwikke- 
lingcn zijn onder te verdckn 
in twee gcbiedcn; Eclipse 
als tool platform en Eclipse 
als applicaiieplatform. Met 
belrekking lot hcl eerste 


wordt er gewerkl aan Appli* 
cation Lifecycle Manage¬ 
ment, o*a. door het opensour’' 
ceprojcct Conina (www. 
eel ipse *org/proposai s/cort>na/) 
cn ALF (www^lipse.org 
/alf)* IBM gaf een gt>ed be- 
zochte technology preview 
van hcl Jazz-project, waar- 
mee softwareontwikkeling 
in teams efftcienler moet 
wt)rden. De kern daarvan 
wordt gevormd door cen 
model leer bare workflow en 
nullige helpers die bugs pro- 
beren te vinden, code le les- 
ten en de commtmicatie tus- 
sen teamleden te vergemak- 
kelijken* 


Borlands 

revolutie 

Een paar keynotes wek- 
ten de indriik dat open sour¬ 
ce cn het colloboratieve 
ontwikkclingsmodel al de 
hele wereld hebben ver- 
overd. Zo kondigde de CEO 
van Borland, Tod Nielsen, 
aan* dat in de toekomsl alle 
Borland-tools op Eclipse 
gebaseerd zullen zijn. Op 
zich is het niet misplaatst 
om het succesmodel van 
Eclipse als voorbeeld te 
wtllen nemen, maar enkelc 
sprekers wezen er we I op 
dat cr nog heel wai uilda- 
g ingen en problemcn over- 
wonncii moeten worden, Zo 
is een projectoverkoepelen- 
de kwaliteitshewaking nog 
nict gegarandeerd. 

Altijd weer Web 

2.0 

Het thema Ajax moehl 
natuurlijk ook niet ontbre- 
ken, Er werden twee projec- 


ten vtK)rgestcld op dat 
gebled. Het ATF-projcct 
(eclipse, org/proposals/atf) 
wil tcKils voor de ontwikke- 
ling van Ajax-applicaties 
beschikbaar maken, zodat 
om te beginnen het schrijven 
van appMcaties op basis van 
de Dojo- en Zimbra-framc- 
works flink wordt vereen- 
vondigd. Dc tools bieden 
onder andere handige edilot^ 
voor iava-Scripi en CSS en 
een Java-Seripl-debugger (in 
combinatie met componen- 
ten van Mozilla), Het Rich 
Ajax Platform (RAP, eclip¬ 
se ,org/ proposals/rap) moet 
het van RCP bekende out- 
wikkclingsm{>del ook voor 
webapplicaties toepasbaar 
gaan mEikcn. 

Ook de standhouders (46 
plus 10 open so u reep rojcc- 
Len) waren tevreden over het 
verl(K)p van dc conferentie. 
Er bleek veel interesse van 
gebruikers voor commercie- 
Ic Eclipse-pnxlucten en -ser¬ 
vices, Hei mcrendccl van de 
voordrachten is overigens 
gratis na le lezen op de web¬ 
site eclipsecon,org. 


iReii iLiad 

Het bedrijf iRex, een 
spin-off van Philips, gaat 
vanaf mei 2006 via de web¬ 
shop de E-reader iLiad ver- 
kopen, Deze gadget maakt 
de meesie indruk met het 
display, Dat is namelijk 
geen normaal LCD-scherm, 
maar een 8J inch 1024 x 
768 pixel touchscreen met 
16 grijsiinten, gebaseerd op 
technologie van hcl 
Amerikiiansc e-ink. 

Dc iLiad be- 
reikl daarmce niet 
alleen een hoge 
helderheid (bin- 
nen en buiten), 
maar ook een laag 
cnergieverbruik, 

Als je dc iLiad 
elke dag drie uur 
gebruikt, gaat cen 
voile hatterij vol- 


gens iRex een week mee, 
Aan b(H>rd is verder een 
Intel XScale 400 MHz, 128 
MB aan beschrijfbaar Hash- 
ge he ugen, cen USB- poort, 
een CompactFlash 11 slot, 
802,1 Ig wireless LAN eti 
een ethcrnetpoori, Onder- 
steunde documentlbrmalcn 
zijn PDF, XHTML, TXT, 
AFABI cn OEB, 


KORT NIEliWS 

Password-recovery: De 

Rijssische produceni Elcom¬ 
soft (WWW .e lcoms< >i\ com) 
hceft versie 1 £ van Proacti¬ 
ve Password Auditor uitge- 
bracht. Hiermee kunnen 
Windows-wachtwoorden 
worden hersteld, Ook het 
product 'Distributed Pass¬ 
word Recovery' voor wacht¬ 
woorden in MS-Offjce- 
documenten is uitgebreid; nu 
kiJimen ook verloren wacht¬ 
woorden door PGP private 
keys hersteld worden, 

VoIP-encryplie: PGP-uit- 
virrtler Philip Zimmermann 
heeft in maart een hetaversie 
uitgebracht van ZFone, een 
program ma om intemettelcL 
onie te versieutelen. De soft¬ 
ware ondersteunt Linux en 




Mac OS X en zou ondertus- 
sen ook moeten werken 
onder Windows XP, ZFonc 
is onaftiaiikelijk van SIP of 
de gebruikte server, cn kan 
VolP-verbindingen in real¬ 
time cncrypten en deciypten, 
Dit gebcurt in hcl under!ig- 
gende protocol ZRTP, Op- 
vallcnd is dat het program ma 
geen bestaande PKl gebruikt. 

Net security: Agnitum Ian- 
ceert versie 2.0 van zijn secu- 
rity-oplossing Outpost Net¬ 
work Security, Het centraaJ 
beheerbarc prtxlucl is be- 
dciekl voor elientoomputers 
en m(KTl best^herming bieden 
tegen netwerktuinvalien, spy- 
ware en datamof. Een licen- 
tie kost 35 euro per werk- 
plek. 
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Co fillets mfhS M2 & RAIDS Solvtiom 


1U 

✓ Dl^] Intel' Dual-core 64-bil Xaon"processors support 

✓ SUFERt‘ X6DHP-3G2Serverboard 
Intel'E7520diip5ey300MHz 

✓ Up to 16GB ECC Reg. DDRII 400 SDRAM 
*/ 1 Universal PCI-X 133MHz (fulMengthV 

1 PCI-Express xB 

^ 1 Univereal PCl-X t33MHz (low-proflley 
1 PCI-Express kB 

✓ Dual Gigabit LAN ports 

^ Adaptec 041OW conlioller for 8 SA3/SATA dnves 

✓ AOOLPZCR2 (Zero-Channel RAID) support 

✓ 4x1* hot-swap SAS/SATA drive hays W/SES2 

✓ 1 slim floppy 1 slim DVD-ROM drive 

✓ BOOW ooid-swap power supply w/1 

✓ 6x 4cm heavy duly fans w/optimal fan speed control 

✓ System managementr Super#' Doctor III B IPMl 2,0 

‘RAIO0,1,5.l0*flXJit 


✓ Dual IrTlel* DunHsore 64 bit Xeon”processors suppon 

✓ SUPERS' X6DH3-G2 Servartraard 

✓ Inter EJSZOchipseySOOMHz 

✓ Up to 16GB ECC Reg. DDRII 400 SDRAM 

✓ 1/2 64-bil PCI-X 133/1 OOMHz {full-size) 

✓ Dual Gigabit LAN ports 

✓ Adaptec 9410W oonirolier for a SAS/5ATA drives 

✓ AOC-LPZCR2 (Zero-Channel RAID) support 

✓ 6x1" hobswap SAS/SATA drive bays 'A'/SES2 

✓ 1 X 5.25* drive bay, 1 floppy drive & 1 slim CD-ROM 

✓ 500W redundant power supply wA^C 

✓ 4 X 8cm heavy duty fans w/optimal fan speed control 
& air shroud 

✓ System managemmt: Super* Doctor III B IPMl 2.0 


V- Dual Intel Dual-care 64 bit Xeon' processors support 
SUPER*^ X6DH3-G2 Servertxsard 

✓ lntei‘ E75Z0 chipset/SOOMHz 

✓ Up to 16GB ECC Reg, DORII 400 SDRAM 

✓ 2 PCI Express x8 

1/2 64-bil PQ-X 133/IOOMm & 1 PCI 
fcT Dual Gigabit LAN ports 

Adaptec 94 lOW controller for S SAS/SATA drives 

✓ ACX^-LPZCR2 {Zero-Channel RAID) support 

fc.' 8x1" hot-swap SAS/SATA drive bays W/SES2 

✓ W" rotatable module: 2 USB ports, FDD, 2 X 525" drive bays 

✓ 760W tripfe-nedundant power supply w/P C 

^ 100% cooling redundancy*^*; 4 x Bern, 2 x 8cm fans 
w/optima) fan speed control & air shroud 

✓ System management: Super#■ Doctor 111 & IPMl 2.0 
*’ System remains at 100% partbrmance even if a kay fan fails. 


SUPERMICR# 

* Sttwtr jtmtHfimmp Sinnnfmttmrtt 

ww iii[>«rfflicr4 nl 
T#t: +31 -73-640 - 0390 
E-mqi: v»mmp«fnilcro.n4 




^ TWP Campuiers 






Cloetens Computers 


+31 40 2iSS3O0 

www.flvnfll CQfin 
as=.sei;&s.rj@avr*tc*+'rt 


-SI -36 - 529 33 49 +31 t020J 6389057 

wwwiHsoxnpu^fi fli wwwlwp-comMer&.nl 

HVilv»W^UsSiX¥npuiCf^.nil +.1 il 


Tm *31-544-470000 

>MNWJ1C3.Elt 

trt$&^iC3.rp] 


Tei +32^0)3 4492226 
www.Uto.be 


TbI +32(0)32361008 
wWw.comult Ue 
irilbiB™n»jii.be 


Tel; +32-(0)1 S29440& 
WWW daelerui.be 
■nra@ckwtera.be 



























































































ALGEMEEN NIEUWS 


Linux 2.6.16 


Na twee maandcn nnl- 
wikkeling heeft Linus Tor- 
valds veme 2.6.16 van de 
LinuX‘kemel vrijgcgcven. 
Vrij snel daarop volgde bug- 
fix-release 2.6.16.1. 

Dc 2.6.I6-kemel be vat 
verschillende nieuwc featu¬ 
res die specifiek voor bedrij- 
ven interessant zijiL Zo is 
bijvoorbeeld Oracle's clus¬ 
ter-filesystem OCFS2 nu 
officieel gcnicrged. Dit file¬ 
system is het ecrstc 
bestandssysteem in de ker¬ 
nel dal specifiek bedoeld is 
voor netwerkc lusters. Qua 
opbouw lijkt OCFS2 op 
exl3, maar cen OCr'S2-file- 
system kan tegelijkcrtijd 
door alle machines in een 
cluster geraadplcegd wor- 
den, waardoor het manage¬ 
ment van databases die in 
een cluster gedeeld worden* 
enorm wordt versimpcid. 
GFS, een under bekend clus¬ 
ter-filcsy stem, wordt nog 
door Red Hat verder onlwik- 
keld voordat het in de kernel 
komt. 

In 2.6J 6 is ook de lock¬ 
ing veii)eterd voor kritieke 


codedelen en zijn veel drivers 
bijgcwerkt om minder stroom 
te verbruiken. Hclcmaal 
nicuw is het EDAC-subsys- 
teem (Error Detection And 
Correction), dal geheugen- cn 
PCI-parityfoiiten moet her- 
kennen, ze indien mogelijk 
moet corrigeren cn dat de 
systeenibeheerder moet waar- 
schuwen, zodat die de hard¬ 
ware kan vervangen. ED AC 
is de opvoiger van hcl l.inux- 
ECC-project. Niet zo heel 
gek dus dal de focus nog op 
ECC memory error handling 
vot>r het x86-platform llgt. 

De Geode GX en LX 
processors van AMD wor- 
den nu ondersteutid. Ook 
nieuw is dc support voor de 
Cell-processor van IBM, 
Sony en Toshiba. Deze 
h ee ft we 1 i s w aar voora 1 
fatim opgebouwd als toe- 
komstige processor voor de 
Playstation 3, maar daar- 
naast is het ook cen 
cxlrcem schaalbare 64-bit 
processor die gericht is op 
high-end enterprisegchruik, 

Voor realtime- en miilti- 
media-toepassingen zijn de 


Software 


nieuwe 
High-Reso¬ 
lution Ker¬ 
nel Timers 
(hrtiiners) 
interessant. ^ 

Hicrmee is een 
exactere tijdmeling 
in nanoseconden binnen 
cn buiten de kernel moee- 
lijk. 

Ook voor de komendc 
kernel 2.6.17 staan interes- 
santc features gcpland. Zo 
wordt hierin de Niagani-pro- 
eessomrchitectiiur van Suns 
UltraSPARC T1 al opgeno- 
men. Met de extensie ’SMP 
allcmalives' kan de kernel 
tijdens runtime tussen de sin¬ 
gle- cn multiprocessormtxlus 
switchen, zodat Je zonder 
tijdrovende linking cen 
SMP-kemel op systemen met 
een CPU kunl draaien. Deze 
feature is (Xik interessant 
voor Xen, waar Je in runtime 
CPU's kunt uit- en aanzelten. 

Als gcvolg van het dcbal 
over de beperking van ker¬ 
nel-interfaces tot GPL-d ri¬ 
vers by dc USB-module, dai 
ervoor zorgde dat enkele dri¬ 



vers van AVM nict mcer 
werkten, worden kernel- 
API's vaiiaf nu vrijge- 
geven onder hcl symbool 
EXPORT^SYMBOL_GPL_ 
FUTURE. Alleen kemelmo- 
diiies die onder de GPL geli- 
censeerd zijn mogen zulke 
interfaces binnenkort nog 
gebrutken. Het ecrstc slacht- 
offer hiervan zijn wat cen- 
trale API's in het USB-sub- 
systeem. Deze ziillen nog tot 
februari 2008 te gebruiken 
zijn voor proprietaire dri¬ 
vers. 

Adrian Bunk heeft aange- 
kondigd dat liij weereen sta- 
biele kcmciserie wil gaan 
onderhouden als de Idnux 
2.6.16-serie eenmaal voL 
tooid is, waarbij de ontwik- 
keling net zo verloopt als bij 
dc Linux 24-serie. 


OSSpaces maakt OpenOffice.org-workspace 


Dc Hrma 03Spaces uit 
Gouda maakte ecu goede 
indruk op de CeBIT. Het 
jongc bedrijf lanceerde 
daar de eer.ste cditic van 
haar groupware voor Open- 
Office .org en StarOffice, 
die is opgezct als tegenhan- 
ger van Microsofts Share- 
Point-server. Tot de moge- 
lijkheden behoren work¬ 
spaces, shared calendars en 
dcK'umcntvcrsiebeheer. Een 
highlight is dc Desktop 
Assistant in je system tray, 
waarince jc op Je machine 
op de hoogtc gehouden 
wordt van veranderingen in 
jc workspace. 

De eerste cditic bestaat 


nog uit een centralc server 
waar de applicatie en de 
data zijn opgeslagen. 
Martijn de Wilde van 
03Spaces kondigde aan dat 
de J2HB-gcbaseerde server- 
software in juni of juli 
wordt uitge-bracht. Gein- 
icrcssccrdcn kunnen zich 
opgeven voor een gratis 
beta-test. De definitieve 
vcrsic zal volgens een 
abonnementsmodcl wor¬ 
den aangeboden. 

In Nederland houdt o.a. 
de gemeente Haarlem een 
proef met het systeem. 



Blilc op een workspace vanuif een client die op de 03$paces Ajox-opplicatie is ingelogd, 
Het colcfile-bestond Is gelockh 
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MAAKT ft 


Hardware 


Nelwerken via PCI-Express 


Draadloze mwis voor linkshandigen 


Onestop Systems (www. 
onesiopsyKicmsx'om), leve- 
Fancier van PCIe-simulato 
ren en -conipoiienten, hcefi 
tijdens hct Intel Developer 
Fomin ecn extern PCFEx- 
press-netwerk genimxiucccrd 
onder de naam MacExpress. 
Hct bestaat vcK)mamelijk uit 
PCle-tot-PCIe-I IB A*s voof 
de eindapparaten cn PCIc- 
switches als verdelers. De 
aansluitingen bestaan uit 
stekkers van het type Mini- 
SAS-4x (viervoudige exteme 
Mini-SAS; ontwikkeld door 


Molex), De bijbehorende 
koperdraden beschikken bij 
SAS, mi als bij Jnllniband, 
ovcF acht twisted pairs voor 
vier duplex-links (10 GB/s) 
en inogen maximaal zeven 
meter lang zijn, De kaarten 
ktmnen via een switch, maar 
ook poin(-to-ptiint aan elkaar 
gekoppeld worden. 

Een van de voordelen zou 
de eeiivoudige in/clbaarheid 
zijn, omdat er geen aanvuF 
lendc drivers nodig zijn. De 
HBA^s zijn in de VS al te 
kot)p en k os ten 295 dollar* 


I HU lUI JIM 

■ rnmam-mm «« vwx 


Oiiderzockers van het 
(jeorgia Institute of Techno¬ 
logy (www*gatech.edu) heb- 
beii een hybride netwerk 
ontwikkeld, dat zowel vaste 
als draadloze comrnunicatic 
over QGU glasvczelkabel trans- 
poitcert. 

Hiertoe wordt het sigiiaal 
dat over de glasvezcl gaat in 
twee delen gesplitst* Het 
ene signaal gaat via een nor^ 
male receiver en cen opti- 
sche niter naar een stan- 
daard wandcontaetdoos, Het 
andere gaat naar cen high 
speed receiver op het pla¬ 
fond en wordt van daaruil 
draadioos verstuurd over 
een frequcnlie van 40 tot 60 
GHz* Beide varianten moe- 
ten de gegevens met maxi¬ 


maal 23 GB/s bij het cind- 
apparaat krijgcn. GlasvezeJ 
kan door zijn grote capa- 
citeit met behulp van 
Wavelength Division Multi¬ 
plexing maximaal 32 ver- 
schillendc kanalen met elk 
23 GB/s transporieren. 

Vt>lgcns de onderzoekers 
zal het nog vijf tot zeven 
jaar duren voordat de tech- 
nick rijp is voor de markt. 
In de eerste plaats zal men 
de hoge productickosten van 
de s pee i ale componeiiten 
acce pta be 1 m oete n iiiaken. 
Aan de andere kant mticten er 
ook belcre antennes komen 
die de interferentie in de 
gebouwen beler van dc nct- 
werksignalcn moeten kun- 
nen onderscheiden. 


'eneloop' NiMH-accu's 


Deze zomer verwacht 
Sanyo {www.sanyoxom) 
met beterc nikkcFmctaal hy¬ 
dride aeeu's te komen. Deze 
'eneloop' gedoopte AA- cn 
AAA-batterijen zitten opge- 
laden cn wel in de verpak- 
king en kunnen met een nor- 
male NiMH-lader ongeveer 
duizend maal opge laden 
worden (www.eneloopanfo)* 
Ze zouden daurnaast bijna 
geen last hebben van het 
geheugcneffect en in een 
half jaar slechts lien procent 


Dc iraditionele symmetri- 
sche muis wordt steeds meer 
verdrongen door ergoiiomi- 
sc he muizen, tot verdriet van 
veel linkshandige computer- 
gebruikers. De mecstc mt>- 
delien zijn vtmr hen namelijk 
complect verkeerd gevormd. 


Vandaar dat Logitech nu met 
ecn linkshundige uitvoering 
van de MX610 Ltiser Cord¬ 
less Mouse komt, Deze kost 
echler wcl tien procent meer 
dan de rechtshandige versie 
toen deze een half jaar gele- 
den werd geVntroduceerd* 


lOGb-switch met geringe latency 


b'orcc 10 Nctworics (www. 
force I0networks*com) intro- 
duecen een nieuwe 10 Gbit 
ethernetswiich met 24 poor- 
ten, de S2410. Zijn vertra- 
gingstijd bedraagl 300 na- 

cii IS uaajtjitjc 
vcrgelijkbaar met de latency 
van Infiniband. 

De fabrikani richt zich 
hicrmec voomamelijk op 
datacenters die veel verkeer 





van hun capacileit verliezen 
en slechts vijftien procent 
na een jaar. Voor apparaten 
die C- en D-ccllcn gebrui- 
ken is er een adapter ver- 
krijgbaar. Deze oplossing is 
echter allecn aan te raden 
hi] apparaten die weinig 
stroom verbruiken, want C- 
en D-cellcn hebben een 
hogcre capaciteit dan AA- 
cellen en die zouden dan te 
snel leeglopen. Prijzen voor 
dc accu's cn adapter zijn 
nog niet bekend gemaakt. 


Stiile mats: Geheel in lijn 
met de trend voor stiile pc's 
heeft liet Japtinsc Thanko 
cen muis met geluidsdem- 
ping ontwikkeld. De 'Silent 
Mouse^ genereert volgcns 
het bedrijf slechts 5 decibel 
bij hci kltkken,tegenover 
26 decibel bij een normale 
muis. De muis heeft twee 
k nop pen en een blauw op- 
Itchtend scrollwiei dat ook 
dienst kan docn als middel- 
stc muisknop. Met bereik 
van de o pi i sc he sensor is 
ongeveer 800 dpi. Onigere- 
kend kost de muis in Japan 
18 euro. Of er ook stiile 
toeiscnborden komen cn of 
deze apparaten tn Euro pa 
vcrkrijgbaar zullen zijn, is 
nog niel bekend. 

Orledinieiisioiiaal: 1 nphasc 
(WWW. i nph ase- tec h no 1 og i es. 
com) mcldt een nieuw 
record behaald te hebben in 
de opslaggrootte van zijn 


m oete n ve rwc rken * V tmr- 
heen was hct gchruik van 
pure ethernetverbinditigen 
in netwerkonigevingcn met 
veel parallel draaiende appli- 
eaiies onmogelijk vanwege 
MLciheidsprubiemetu Dc aan- 
sluitkosicn bedragen circa 
6(X) euro per 10 Gb-ethernet- 
poort. De S2410 is vcrkrijg¬ 
baar met zowel CX4- als met 
XJ T- aan si u i t i n gen * 


holografische opslaginedia, 
Er past nil 515 GB op cen 
vierkante inch (6*45 cm^). 
De eerste schijven en ver- 
wissetbare media met deze 
capaciteit worden nog dit 
jaar verwacht. Concurrent 
(3ptware {www.optwiirc, 

CO jp) zal ook dit jaar met 
een vcrgelijkbaar aan bod 
komen. Liitere modehen 
zullen zelfs ecn capaciteit 
van 800GE tot t/>TB 
mt>eten krijgen. 

Exact bdkht: Seiko Epson 
(www.epson.nl) w'il de in 
displays gcbiuikle OLED- 
tech nick (Organic Light 
Emitting Diode) gebruiken 
om Ideinere kleurenprinters 
met hoge rcsolutie en hoge- 
re printsnelheden te fabrice- 
ren. Voor de printkop oni- 
wdkkeldc de fabrikant 
samen met her bedrijf Sumi¬ 
tomo Chemical een bijzon- 
der feJIe OLED die dienst 
doet als hneaire heeldbron. 
Deze belicht afzonderlijke 
punten zo preeics dal er een 
gclijkmatig printpatroon 
ontstaat. 
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MARKT^ TRiNDS 


Linux & WWW 


Terug naar de roots 

Op de CeBIT hecft Novell 
cen lipje van de sluier opge- 
licht over dc desktopdistributie 
voor bedrijven, die later dit 
jaar moet uitkonien. Za word! 
dc bi j de vorige versie geintro- 
duceerde Qaamswijziging van 
Suse naar Novell terugge- 
draaid. Waarschijnlijk had 
Novell onvoldocndc rekening 
gehouden met de naamsbe- 
kendheid van Suse, want het 
nieuwe product gaat weer Suse 
Linux Enterprise Desktop 
hclcTi. De eveneens in Han¬ 
nover getoondc versie lOJ van 
OpenSUSE vormi de basis. 


Met een geTntegreerde desk- 
topscarch, een aantrekkelijke 
OpenGL-dcsktop die geschikl 
is voor 3D-effecten, en soft¬ 
ware voor de meest basale 
kantoorbehoeften mikl Novell 
vooral op de huidige Windows- 
gcbniikers. Tot de applicaties 
behoren OpcnOnice 2.0 Bvolti- 
t i on, Indus ief Out look-connec¬ 
tor en plug-ins, c.q. clients 
voor het gebruik van Domino- 
en Groupwi sc-servers* Bij 
omvangrijkere installaiies kan 
lie! bchccr van de clienl-syste- 
men centraal gebcuren via 
No veils ZEN works. 



Fedora's vijfde 


De onkngs gelanceerdc ver- 
sic 5 van Fedora Core (FC) is 
ntei zomaar een nieuwe Linux- 
dislributie vtKir x86, x84_64 cn 
PPC. Red Hal gaat tie voor eind 
dil jaar aangckondigdc zakclijkc 
Linux-versie RHBL namclijk 
bouwen op basis van de 
FC.'i^odc. Dc ontwikkclaars van 
Fedora (www. fedorapi't>Ject .org) 
hadden met negen maanden 
ontwikkcltijd maar liefst dric 
maanden langer nodig dan 
gebruikelijk. Hieruii hlijkt al dal 
het niet om een normalc onder- 
houdsbeurt gaai, maar dal cr ook 
enkcle belangrijke wijzigingen 
hebben plaatsgcvonden. 

De meest in Iret oog springen- 
dc is dc integmiie van de open- 
source *nct runumc-omgeving 
Mono. Deze is inclusief dc bij- 
behorende zuekmachine Beagle 


cn wat kieinem Mono-jiiogram- 
ma's tcrug tc vinden op de cd's, 
c.q* dvd, Vaai de virtualisatie- 
softwarc Xen wordl versie 3 
gelcverd. De keniel zit bij versie 
2.6J6, die dankzij de driver 
hcm43xx nu t)ok WLAN-kaarten 
met Broadcom-chips ontler- 
steujit De ontwikkclaars liebbcn 
voor cxini betrouwhaarheid van 
bet systeem zwaardcr ingczet op 
de siaek-protccior van GCC 4.1, 
die enkelc bulTer-overflow 
varianien oplost. Ook is SE- 
Linux verder uitgebreid (zie iX 
2y06, pJ 15). Apache 2.2, Fire- 
fox 1*5, Gnome 2 tI 4—KDE 
3*5,1, MySQL 5.0, OpcnOfficc 
2*02, PostgreSQl. 8.1 en Thtin- 
derbird 1.5 mogen niet onver- 
meld blijven* Mccr details zijn tc 
vinden op www.redona.redhat.- 
coml docs/rclcasc-notes/fcS/* 
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Microsoft versterki OpenXML 


Microsoft heefi samen met 
bedrijven als Apple, BP, Ilog, 
Intel en Toshiba de OpenXML 
Formats Developer Group 
(openxmidcvclopcr.org) opge- 
richt. Het doel van deze groep 
is het propageren van de 
openheid van dit nieuwe for' 
maat, waarmee bestanden in 
Office 2007 worden npgesla- 
gen. Dc kritick op OpenXML 
rich! zich vooral op het rccht 
dal Microsoft zichzelf voorbe- 


houdt om wijzigjngeii in de 
standaard door te voeren, met 
name waar het de eigen Offi¬ 
ce-suite betreft. Hot concurre- 
rende Open Document Format 
(ODF) van de Organization 
for the Advanecmcnl of Struc¬ 
tured Information Standards 
(OASIS), dat onder anderc 
door IBM cn Sun wordt 
ondersteund* wordt hierdoor 
niet gehinderd* 


KORT 


Proxi m (w w \v. prox i m *c o m) h eeft een wate rbe s te nd ige 
uitvoering van hel WLAN-accesspoinl Orinoco AP- 
4000MR voorgesteld. Dit dual-rad iomodd ondersleunl 
802.1 Ib/g, waarbtj de zendeenlieid in de 2,4GHz-band 
bestemd is voor clientverbindingen* De AP's kuniien on- 
dcrling via 802*1 la gegevens uitwissden op de 4,9 of 
5,8 GHz-band en op deze wijze een draadioze backbone 
vormen* 

De nieuwe NAC-appIiance van Mirage 
(www.miragenetwork.s.com) - ook als software verkrijg- 
baar - moet grote heterogene neiwcrkcn, die ook door 
mohiele apparaleti worden gebruikt, beschermen tegen 
malware, ongeoorioofdc loegang etc* Het product maakt 
gebruik van regelgebaseerde algorilmen, waardtxir bij- 
voorbeeid een wormaanval zonder passende signatures 
door het isoleren van het als onveilig geidentificeerde 
apparaat gestopl kan worden. 

nVidia (www*nviditLcom) heeft twee chips geYntrodu- 
ceerd die de videoweergavc van notebooks moeten ver- 
beteren* De GeForce Go 61 OB en de nForce 430 zijn in 
staat om films af tc spelen in dc foroiaten H.264, 

MPBG2 en VCL De chips werken met processors van 
AMD die de accu minder helasien. 

Mobici versleutelen; Safe boot (www.control break .corn) 
hecft een nieu we wachtwoordheveiligde USB-stick op 
de markt gebracht* Hicrop kunnen gegevens m*b,v. 256- 
bit AES-encryptie worden opgeslagen* De sticks varie- 
ren in grooite van 128 MB tot 4 GB. 

Opstarten vanaf stick: Rangec (wwwjaitgee.com/en) 
komt met een USB-stick waarvan jc Linux kunl opstar- 
ten zodat de pc cxn thin client wordt. Voorw^aarde is wcl 
dat de pc een OS vanaf USB kan opstarten. Het apparaat 
kost 96 euro en be vat een ICA-client en RDP-software, 
die door Ran gee zelf is ontwikkeld. 
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Brainshare 2006 


Brainshare 2006 

Novell besloot vier jaar geleden om 
vol in te zetten op Lijiux. De oplossin- 
gen die liet bedrtjf onlwikkelt op met 
iiaiiie de gehieden nelwerkbeheer en 
standaardisenng kunnen van grole waar- 
de zijn voor (middcDgrotc bedrijven. 
Zesduizend deelnemers uit 50 landen» 
270 workshops en 65 trainingen, mel 
dactmaast een kleine bcurs. Novel Is 
Brainshare^ die in maart in Salt Lake 
City plaaLsvond, was een mix van een 
opleidingscentnim, vakbeurs en ont- 
moetingsplaaLs voorneiwerkers, 

Tijdcns de Brainshare werden ook 
frapante regionale verschillcn zichtbaar. 
In de VS cn Finland, waar het economh 
sche hcrstel zich heeft ingezet, wordi 
weer in IT ge'mvesteerd. In toenemende 

liiiiic: vuoi nigs- 

systenien cn ondersteuning Linux-ma- 
chincs gebniikt, omdai deze goedkoper 
zijn en je nict aan c6n produeenl vastzit. 
In de kmden v/aar de economie nog in 
cen clip zil, wordt nog steeds op IT be- 
zuinigd. Voorhecn was het gehruikelijk 
oni een NetWanc-server om de drk Jaar 
tc vervangen, nu gaat deze zeven jaar of 
langer mee. In Nederland zijn nog nela- 
tief veel NelWarc^netwcrken in bedrijL 


Ondersfeuning 

gegarandeerd 

De gehele clienkle van Novell 
bevindt zich helaas lussen de/e twee ex- 
treincn* Novell CFX) Jack Messman kon 
dan (xik op hevige bijval rekenen toen 
hij zei dat zolang khuilcn NetWare 65 
gebruiken zij kunnen blijven rekenen op 
support. Evenzoveel gejuich viel de ser¬ 
ver- en desktopversie van Susc Linux 
Enterprise 10 ten dceL Van de software, 
die deze zomer klaar moei zijn, werd tij- 
dens de Brainshare alvast cen bdtaversie 
iiicgedeeld. Novell verwaeht veel van de 
nicuwc Linux Desktop met iFolder, fo- 
tobrowser, nip3-speler en OpenOffiee +. 
Dc + muei iiiusiicrcn dat het om een 
spccialc Novell-versie gaat met extra 
mogclijkheden om VisuaFBasic-macro^s 
te lezen en schrijvcn. 

Versic 3 van tie Identity Manager 
maakte ook veel indmk met zijn graft- 
sebe interface, die zorgt vcK>r dc aanstu- 
ring van cen ’Pnwisioning' module en 
cen ^Audif module, 

De andere nieuwijcs kwamcn uit uil- 
eenlopende hock. Zo komt er een spe- 


cialc ’DcIFversie’ van de management- 
tool Zen works. Deze wordt vanaf april 
bij iedeie Dell-server gelcverd en onder- 
sleunt Suse en Red Hat. Voor organisa- 
ties waar een grote hoeveelheid Black¬ 
berry's in omloop is, is er dc BlackBerry 
Enterprise Server 4J for GroupWise. 
Hicrmce is het mogefijk oni een koppe- 
ling tot stand te brengen met No veils 
Group Wise Messenger voor Instant 
Messaging. Door middel van push-lcch- 
noiogie krijgen de gebmikers toegang 
tot e-mail, webbrowsing, bedrijfsgege- 
vens el cetera. 

Novell lichtte eveneens zijn fange- 
tennijnplannen toe met betrekking tot 
Open Enterprise Server, Iloewel dc 
eerstvoigende release — codenaam 'Cy¬ 
press' — pas gcpland staat voor medio 
2(K)7, onthulde men nu a I dat deze ver- 
sie servervirtualisatie zal onderslcunen. 
Daamaasi beioori Novel i een berere 
samenwerking tussen zi jn eDirectory en 
de Active Directoiy van Microsoft en 
ondersteuning vtK>r dc xK6-64bit-pro- 
cessors van AMD en Intel, Er is ook al 
nagedacht over de versie na "Cypress’ 
met codenaam 'Pondenrsa*. Naar ver- 
luidt zai deze versie diep ingrijpen in liel 
file-system en zal er ook nog nicer aan- 
dachl komen voor dc manier w'aarop 
werknenters kunnen samenwerken. 



Ate a geen risico’s wit /open met uw beefn^fe- 
gegevens of productiviteit, vertrouw dan op 
deze 'HPS Advance* server, gebaseerd op de 
/nfeADXeon™ processor De perfecte keuze 
voor een compacte database, 

FTP of department server 


De server is opgebouwd art de 
voigende componenten: Intef® 
'Brandon* server mainbemrd, 

2x intern Xeon^ 2.8GHz ' 
processor 1GB REG ECC 
memory, 4x 180G8 SATA 
harddisk, duai gigabit LAN en 
VGA onboard, CD-rom drive, 
4-kanaals 3Ware SATA RAID- 
5 controlter 


verkoop@hpsindustrlal 
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Voice over IP 


CeBIT 


C 


lisco b al jiifen bezig om 
VoIP als st^indaiirdtech- 
Iniek it verkopen, zij hci 
Icvorgeefs, Daf komt met 
name door hel instabiele 
karakter van dc dicnst in vcr* 
gelijking met het iraditiondc 
IcIcfoonneL (POTS — Fla in 
Old Telephone System). Oil 
kan dan ook bogen op slechts 
vijl'minuien downtime perjaar 
tegcnover drie dagcn bij VoIP. 

Ot VoTP-aanhangers hopcn 
nil ook ten doorbraak te force- 
ren binnen dc bcdrijfsmitten. 
De bestaanck telefoonccntralcs 
die het verkeer tussen vestigin- 
gen verzorgen worden steeds 
vjiker vervangen door SIP-ccn- 
Irales (Session Initiation Proto- 
col). Br is een hele waslijst van 
iirgumenten die plciten vddr 
een ovei^tap naar VoIP. JP- 
centrales zijn - doorgaans 
niiddels een webinterfacc - 
makkelijker te l>eheren, knn- 
non nit statxdaardc€>mponenteii 
worden opgebouwd, werken 
onalhankelijk van loestellen 
van een specifieke fabrikanl en 
door VoIP zijn er geen ver- 
schillende bekabel ingen nodig 
v<x>r spraak cn data. 

Otik de organisatic van dc 
CeBIT 2(X)6 verwachte een 
d(H>rbraak van VoIP, aange- 
zien het grooLste dee I van hal 
13 hiervoor gercserveerd was. 
BeUingrijke spelers als Sie¬ 
mens, AVM, 
Zyxel, Draytek 
Avaya, aanbie- 
ders van pmp- 
rietaire VoIP- 
centrales en de 
open-source 
telefooncen- 
trale Aste¬ 
risk gaven 
acte de pre¬ 
sence. 



Goedkoper 

bellen 


Christion Kirsch 

VolP-aanbieders lijken kosten noch moeite fe 
sparen om klanten binnen te halen. Het lijkt er 
op dot VoIP nu ook in de zokelijke wereld 
begint door te dringen. 


Van de partij was ook het 
Bariieveldse Covjde (www. 
covidc.nl). Het bedrijf lan- 
ceerde versie 6 van de gelijk- 
namige CRM-Groiipware. 
Naasl CRM, HRM, een 
e-mailsysteem met geautoma- 
tiseerde archivering, agenda, 
VoIP-iclcfoonccntrale en het 
klachten- cn supponsyslecm 
bevat het ook de in versie 
5 geintroduccerde verznim- 
voigmcxlule, Covide kan net 
als gewone mailservers bij 
bcdrijvcn worden gemstal- 
leerd of via internet worden 
gebuurd. Met het Italiaanse 
Prontofficc zijn contacten 
gelegd om de daar ontwikkcl- 
de callcenterfunctionaliteit te 
integrcren. 

SiP ook buiten het 
bedrijf 

Door middel van een SIP- 
trunk is het mogelijk om met 
een VolP-toestel verbinding te 
maken met he I norma le tele- 
foonncL Tai van aanbieders 
hopen hiermee de acceptatie- 
gratid van VolP-centrales le 
verhogen. VtMtralsnog wordt 
de IF-centrdJe naast de klassic- 
kc ccnlnde ingezet en nog niet 
als vervanger ervan, Er zijn 
dan ook niet veel ISP's die ex- 
teme IP-telefonie succesvol 
aanbieden en zich daarom 
hoofdzakelijk bezighouden 
met bet koppelen van neven- 
vestigingen met de hooidvesti- 


De nietjwe 6136 van Nokia is niet 
alleen geschikt voof GSM-netwerkerr, 
maar werkt ook ols VolP4elefoorc 


ging door middel van TP, ter- 
wijl de exteme communicatie 
via het tmditionele tcicftxmnct 
blijft verlopen. 

Je kunt ook besluiten zelf 
de touwtjes in handen te huu- 
den door zelfstandig de IP- 
cenlralc in je bedrijf te instal- 
leren en te beheren. Je kiml 
dan een kant-en-klaar prcxJuci 
kiczen of besluiten met de 
geschikte hardware en de 
open-source centrale Asterisk 
uan de slag te gaan. Van Aste¬ 
risk is inmiddels mik een 
business-edition veFkrijgbaar, 
zoals Asterisk-sponsor Digiiim 
(www.digium.cotTi) op de 
bears liet zien.Tn tegenstelling 
tot dc gratis versie, wordt de 
Digjum-versie gelevcrd inelu- 
sief technisch handb<x:k, 
upgrades en support voor een 
jaar, Een licentie kost imge- 
veer duizend dollar. 

Voor het koppelen van een 
filiaal of een thu is work pick 
kun je ook kleinerc apparalcn 
gebruiken. Aanbieders hi ervan 
zijn ondcr anderc A VM, Zyxel, 
Netgear en Lancom. Vexjr 
ongeveer 1500 euro leveit de 
fimia Snom (www.snom.nl) 
een centrale ter grootte van een 
pakje sjgaretten als lifestyle'- 
product. Hocwcl cen tccbnisch 
vergelijkbaar apparaat voor cen 
vijfde van dat bedrog te koop is 
verkoopt het goed, aldus de 
fabrikant. Wellicht tekenend 
voor het economische herstel? 

Veilig bellen 

Naast een bijna fcillozc 
QoS (Quality of Service) is 


cen van de belangrijkste aspec- 
ten bij bellen via IP de veihg- 
heid van de lijn. Diverse aan¬ 
bieders nisten bun apparaten 
uk niicl de mogelijkheid om de 
gesprekken te vcrslcutclcn. 
Technieken die hierbij 
gebruikt warden zijn Transport 
Layer Security (TLS) en het 
Secure Real Time ProtcKol 
(SRTP). Om van deze technie¬ 
ken te prolitcren moeten de 
toestellen hier wcl spccifick 
voor zijn uitgerust. Het is 
cveneens mi>gelijk om de 
VolP-data door een VPN-tun¬ 
nel te sturen. Technisch gezien 
is het overigeiis nog niet zo'n 
heel eenvoudige opgavc om 
het gehele VolP-gesprek door 
een VPN-tunnel te krijgen, 
omdat deze tunnel UH aan het 
telefoontoestel trmet rciken. Of 
de veiligheid van een VolP- 
gesprek een belangrijk issue is, 
dient ieder vcK>r zich uit te 
mtiken. Kijk maar eens iiaar de 
analoge situatjc of het ISDN- 
net — daarhij gaan gespnekken 
over een lijn die in principe 
door iedereen te volgcn zijn. 

Bij de klassieke VoIP-tele- 
hxms was er niel veel nieuws 
te melden. Wei warcn cr veel 
WLAN-appararen te zien, 
maar die hjkcn vooraisjiog 
allemaal te zijn onlworpen 
voor gebruik met je eigen 
acccs.spQinl, Om je bij een 
open bare hotspot te kunnen 
authentiflceren dient een toe- 
stcl te beschikken over een 
bi-owser en juisl deze ontbieekt 
bij de nieeste apparaten. Een 
van de uitzonderingen was de 
Nokia 6136, cen hybride toe- 
stel dat geschikt is voor zowel 
GSM a1s WLAN. Dankzij 
UMA (Unlicensed Mobile 
Access) kun je gesprekken 
Ihuis via het 'gnitis’ internet 
laten Jopen, vcrvolgons de deur 
uitstappen en verder bellen via 
het mobiele GSM-netwerk — 
zonder dat bet gesprek verbro- 
ken woidt en je opnieuw ver¬ 
binding moet maken. In de UK 
biedt provider Orange zijn 
klanren op deze wijze ttx;gang 
lot GSM- en WLAN-netwer- 
ken. Volgcns Nokia komt het 
apparaat in liet iwecdc kwar- 
taal van 2006 in Nederland op 
de markt. 
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Groupware 


CeBIT f‘ 


MAPI maar dan anders 

Outlook zonder 
Exchange 

Christian Bottger 

Microsoft Outlook hoeft niet per se met 
groupware als Microsoft Exchange 
gebruikt te worden. Er bestoan inmiddels 


diverse alternatieven 
ook onder Linux. 

O utlook is bij bijna alle 
Windows-gebniikcrs bc- 
kcnd. Daiuiom kunncn gebrui- 
kei*s bij hijna alle alternarteve 
groupware-systeineii gebruik 
(blijvcn) maken v^in OutkK>k. 
Natuurlijk kun je Outlook ook 
aJs eeii loa piograiiima zontier 
servcTondcrstcuning gcbrui- 
kcn. bijv(x)rbeeld aLs Personal 
Information Manager (PIM). 
De verbinding met dc buiten- 
wcrcld voor e-mail vindt “ 
afhankelijk van de versie - 
plants via POP3, IMAP4 of 
WebDAV, HierbiJ slaat Out¬ 
look in format ie zoals afspra- 
ken en adressen op in lokale 
bestanden, waar andcre gehrui- 
kers niet makkelijk gebruik 
van kutinen maken. 

Zonder MAPI wordt 
bet moeilijk 

Weliswaar besiaan cr op- 
lossingcn waarmce jc zulke 
*/?,rf-bestanden via bet LAN 
kunt delen, maar deze eenvou- 
dige vorm van -iamenwerken 
hecfl cen lage performance en 
werkt alleen bij een klein aan- 
tal gebruikers. De samenwer- 
kingsmogelijkheden van Out¬ 
look maximaal te beiiutten, 
moeten de Oullook-program- 
ma'ji van dc verschillende 
gebruikers met 6ti\ gemeen- 
schappelijke server communi- 
ceren. Meestal is dat dan 
Microsoft Rxchange, maar dat 


ie MAPI aanbieden, 


hoeft niet. 

Elk goed aJtcmatief group- 
waresysteem biedt oiidensteu- 
fling voor MAPI. Summige 
systemen docn dit door de 
lie 1 a n gri jk ste M A PI -com m un i - 
catie-ondendeleri te iinplemen- 
Lcrcn en dc data-objecten al¬ 
leen als BLOB's (Binaiy Large 
OEjects) op te shuin. zotider dc 
inhoud tc inlerprcteren. Het 
voordeel hiervan is een boge 
performance - maar je kunt cr 
geen server-based services 
mee ontwikkelen. 

Andere oplossingen, zods 
Scaiix (www.sealix.eom), zoe- 
ken een compromis tussen de 
totale performance van een 
systeem en de runellcomvang. 
Daarbij worden dc objectstruc- 
tuiien gedeeltelijk geVnterpre- 
teerd en wordt dc rest als bi- 
natre objeclen opgeslagen. Op 
(1cm manier kan er selectieve 
infomiatie in de eigen web- 
elicnl getoond worden. Aan de 
implemenlatie ontbreekt ochter 
het een en ander. Zo kunncn 
gebruikers bij afspraken in de 
webclient van Scaiix bijvoor- 
beeld geen contaclobjeclen lin- 
ken of wccrgcvcn. Ter com- 
pensatie biedt Scaiix wel een 
flink aantal Outlook-add-ins. 

MAPI-only servers 
voor Linux 

Op de CeBri' waren ook 
enkele oplossingen te zicn die 



Deze webclient lijkt verbluffend veel op Oittlook - zools 
wel uit het screenshot op daze pogina bli[kt, 


MAPJ-obJeclen {oi>k onder 
Linux) volledig interpreleren 
en opslaan in SQL-databases. 
Deze bieden een funetieom- 
vang die praktiseb gelijk is aan 
het orig inee I (h ttp ://ofr^ce. 
rnicrosoiLcom/nl-nl/FXO 1085 
?931[)43.aspx). Hiertiij moetje 
wel de peiforniance en daar- 
nice dus ook de sehaalbaarhcid 
in dc gaten houden. Ete ont- 
wikkelaars richten zich op 
installaties met maximaal HXX) 
gebruikers. Omdat de client 
ook de datastructuren van de 
MAPi-objecten bepaall, mtx;- 
ten zulkc producten tabellen in 
een SQL-database dynamisch 
kunnen aanmaken en beheren, 
Nieuwe vcrtcgenwriordi- 
gers op dit vlak zijn bijvoor- 
beeld teamXcfumge (www. 
teamXchangc.com) van Vip- 
eom en Zarqfa (www.zarafa- 
server.nl) van het Nederlandsc 
ConnecTLfX. Deze bieden 
Out look-functies met mailser- 
vices, llet verschil tussen deze 
twee zit vooral in dc details. 

MAPI en 

Microsoft heeft MAPI 
(Messaging Application Pro¬ 
gram Interface) ontwikkcJd 
voor de communicatie tussen 
Outlook en server. MAPI is 
een (Icxibcle interlace waar- 
mcc toepassingen dynamisch 
gestructureerde gegevens 
kunnen uitwisselen, Simpcl 
gezegd bestaat MAPI dus uit 
twee delen: enei* 2 ijds de uit- 
wisseling van objeclen als bc- 
richten* afspmken enzovoorts^ 
anderzijds de inhoud van 


TeamXchange draait als 
monohtJii.sch systeem op Win¬ 
dows- en Linuxservers. De 
focus ligt op het beschikbaar 
stellen van de MAPLmiddle- 
ware. Het hccfi op dit 
moment ook geen eigen 
clients, Tn plants daarvan 
wordt voor de eigeti locpas- 
singen een C-H-A PI ge¬ 
bruikt. Zarafa draait alleen 
onder Linux en probceit zich 
in bestaande systemen te 
inlcgrcren. Zarafa is niet 
heeft geen eigen MTA, maar 
maakt gebruik van cen al 
aanwezigc mailserver. Zarafa 
brengt bovendien een eigen 
webclient mcc voor Apache, 
die via cen PHP-MAPI- 
extensie met Exchange kan 
prate n. B e i de oploss i ngen 
hebben nog wel een achters- 
tand op het gebied van add¬ 
ins, Je nioet daarom goed na- 
gaan wclkc funclics je per se 
nodig hebt en of deze ook 
worden aangeboden. 

wizards 

deze objecten. 

Orn ervoor le zorgen dat 
Outlook de nieuwe service 
van de server ook kan gebm- 
iken, mod jc op de eiicnt 
cen zogenaamde connector 
installeren. Deze Wizards 
moeten door Outlook-add- 
ins of -plug-ins afzonderlijk 
lieschikbaar worden gesteld, 
Dc Ou 11 ook-specifieke dia- 
loogvcnstcrs kun Je alleen 
gebruiken in combinatie met 
een Exchange-server, 
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Diversen 


Palm viert tienjarig jubileum 


In 1996 /ag de Palm Pilot 
het tlchL Dezc organizer 
bevatte een agenda, een 
adnesboek, U>-do lijstjes en 
een nodtieblok, De mogelij- 
kheid om het apparaat te 
synchroniseren met de pc 
was e^n van zijn sterksle 
punten* Zo sterk, dat 
het succes van de 
Pilot zelfs voor de 
eigen medewerkers 
als een verrassing 
kwam en dal het 
bedrijf, dat een 
onderdeel was van 
US Robotics, een 
jaar later door 3Coni 
werd ingelijfd. Ver- 
volgens verlieten 
de drie drijvende 
krachten achter de 
Pilot - Jeff Hawkins, 

Donna Dubinsky en 
Ed Colligan - het 
bedrijf om een 
eigen firma (Hand¬ 
spring) op te rich- 
ten, De drie richtten 
zich op het ontwik- 
kelen van hand¬ 
helds die gebruik 
maakteii van het 
Palm-pi at form. De 
wegen van de twee 
bedrijveii zouden 
elkaar later wcer 
kniisen. 

Intussen ontwik- 
kelde Palm verder, 
loste een dispuulje 
op met Microsoft 
over de term 'palm 
pc' en 'palm-sized 
pc' en lanceerde in 
1999 de eerste draad- 


loze organizer, de Palm VII* 
De ondemcming dacht bet 
op eigen benen ook wel te 
kunnen redden en maakte 
zich in 2(KM) los van 3Com. 
Een jaar later splitste Palm 
het bedrijf op in een aparte 
hardware-tak (Palm Solu¬ 
tions) en een divisie voor 
het ontwikkelen van 
hcl besturingssysteem 
(Palm Source). Na 
twee jaar zij-aan-zij te 



hebben gefunctioneerd, acht- 
te Palm de tijd rijp om de 
bcide entiteilcn defmitief te 
scheiden. De hardwaretak 
ging verder als palmOne, ter- 
wijl het besturingssysteem 
doorging onder de naam 
Palm Source* 

Het bedrijf Handspring 
van de drie vtK>rmaUgc 
Palm-medewerkers werd 
overgenomen en ingelijfd bij 
pal mOne, Handspring had 
inmiddels de smartphone 
Treo op de niarkt 
gebracht, die ver- 
volgens aan het 
productportfolio 
van Palm werd 
toegevoegd, Een 
voorlopig laatste 
wapenfeit vond 
in 2005 plaats 
toen palm One 

voor dertig mil- 
joen dollar alle 
rechten verkreeg 
om de naam 
Palm te gebrui- 
ken. Hiemiee is 
ook het exclusie- 
ve verbond tus- 
sen de Palm- 
hardware en het 
Palm-OS verval- 
len. De eerste 
smartphones met 
daarop Windows 
Mobile van Mi¬ 
crosoft hebben 
kort daarop het 

Von Pilot tot 
Treo: tien joor 
Palm. 


Oracle Business Intelligence Suite 


Oracle heeft een nieuwe 
Business Intelligence Suite 
geintroduceerd. Hierin heeft 
het bedrijf het product Busi¬ 
ness Analytics van Sicbcl,de 
meest recente aankoop van 
Oracle, geintegreerd met zijn 
eigen Bl-middlewarc. 

De suite biedt tevens on- 
dersteuning voor PeopleSoft 


Enterprise en JD Edwards 
EnterpriseOne en is een on¬ 
derdeel van Fusion middle- 
ware. De suite is verkrijg- 
baar in drie varianten* De 
Enterprise Edition is dc ver- 
sie die Business Analytics 
van Siebel integreert, de 
Standard Edition bicdt on- 
dersteuning voor reeds aan- 


wezige Bl-infrastrucluur die 
gebaseerd is op Oracle, De 
Standard Edition One ten- 
slotte is speciaal ontwikkeld 
voor het MKB en bevat Ora¬ 
cle Database lOg Standard 
Edition One, Oracle Ware¬ 
house Builder alsmede tools 
voor rapportage, querying 
en analyse. 


Icvenslicht gezicn en de OS- 
leverancier Palm Source is 
ondeitussen overgenomen 
dcK)r het Japanse bedrijf Ac¬ 
cess* 


IBM leidt hockers 
om de tuin 

Onder/oekers van hei 
IBM research lab in Zurich 
hebben cen methode ontdekt 
om hackers buiten de deur le 
houden. Hun nieuwe intru¬ 
sion detection tool is Billy 
Goat ged(K)pt en bicdt niet 
alleen de mogelijkheid om 
wormaanvallen al in een 
vroeg stadium tc ontdekken, 
maar kan ook het aantal 
valsc alarmcn terugdringen* 

Billy Goat doet zich voor 
als een verzameling servers 
in het netwerk, zonder dat 
die daadwcrkelijk aanwezig 
zijn* Hackers die willekeuri- 
gc aanvallen t>p het netwerk 
uitvoeren kunnen op deze 
manier worden buitengeslo- 
ten. 2^KJra Billy Goat wordt 
aangevallen begint de idenli- 
ficatie van de aanvaller en 
worden womien en virussen 
gefsoleerd om vcrdcre scha- 
de te voorkomen. Om te ver- 
hindcren dal er ook echt vals 
alarm wordt gestagen, heeft 
IBM naar eigen zeggen een 
nieuwe architectuur ontwik- 
keki, die cen niet van echt te 
onderscheiden virtueel net¬ 
work toonl* 

Billy Cioat reageert op 
door malware gegenereerde 
req ue st s naar o n ge bni i k te 
IP-adressen* Hel systeem 
laat vervolgens gegevens 
zien die door een worm wor¬ 
den gernlciprctcerd als een 
netwerk vol met machines cn 
servers* Deze virtualisatie 
dient crv(H>r om de herkomst 
van de worm te achterhalen, 
De techniek van Billy Goat 
is verkrijghaar via IBM's On 
Demand Innovation Services 
(ODIS), het partnerschap 
van IBM Research en Busi¬ 
ness Consulting Service 
(BCS)* 
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Alliris geefi virtuansatiesoftware weg 


Alliris, Icvcrancier van 
managementsoftware, stelt 
zijn Software Virtoatizalion 
Solution (SVS) gratis ter 
beschikking voor persoon- 
lijk gebruik. Met SVS is hei 
mogclijk om software te ge- 
bruiken en te beheren zon- 
der dat er inbreuk wordt gc- 
pieegd op dc bcstaande con- 
figuratie. Hierdoor kiin je 
op hetzelfde ssysieem mcer- 


dere versies van dezelfde 
software gebruiken. Altiris 
hoopi dat hel ter beschik¬ 
king stellen van een gratis 
versie voor eindgebruikers 
zal leidcn lot meer gebruik 
ervan binnen de bedrijfs- 
omgevirig. De gratis versie 
van SVS is te downloaden 
via www.tucows^com of 
WWW .download.coin. 


Tfie ’tfs^ eflHTDri'nHr.f 
IS ^iie aditat opofsOng 
s/siem^s dais and 
appixabofa rhea am 
comenaona^iyfrtstomi 



IF 


df/grngm vmje of Jfte 
(wai Cfe 

rAn iMe litw 
thaf Uurpnd ittvr 



Padkagastom 

biaai/stem 


noLfttJts 


LA^HtHLiS 


Wachlwoordkraker voor Excel 


Ilet bedrijf Rixlcr hccfi 
zijn assort i men t wacht- 
woordkrakers uttgebreid met 
Excel Password Recovery 
Master. Hicrmee kun je 
Excel-sheets ontdoen van de 
wachtwoordbeveiliging cn 
wordt de inhoud weer vrij 
toegankelijk. De software is 
in staat oin wachlwoordcn 


van het type ’open' en ’write’ 
te resetten of terug te halen 
voor workbooks, shared 
workht)oks en worksheets. 
Rixler produceert vergelijk- 
bare software voor Word, 
Outlook en Access. 

Volgens de leverancier 
onderscheidt de software 
zich van andcren doordat de 


decryptie plaatsvindt op de 
servers van dc Icvcrancicr, 
tcrwijl dc data wel op de pc 
van de gebruiker blijft staan. 
Hierdoor is het nict nodig 
dat de gebruiker zijn - vaak 
gevoelige - inforniatie meet 
afstaan. Verstrooide gebrui’ 
kers hoeven daardoor niet 
bang te zijn dat een vergeten 


waciitwoord direct een ramp 
betekent voor hun werk^ 
zaamheden. Excel Password 
Recovery Master onder- 
steunt OtTice 97, 2000, XP 
en 2003 en kost circa dertig 
dollar (www.rixlcr.coni). Er 
is ook een speciale trialver- 
sie met beperkte mogelijk- 
heden. 


Pauline Middelink, Leon Pierik 

Xen - Virtualisatie 


'Xen and the art of virtualisation* 

Meer en meer bedrijven willen 
beschikken over een eigen 
server op bet Internet. Niet 
iedereen beschikt echter over 
een professionele locatie met 
goed verbindingen. Niets is 
namelijk zo vervelend als een 
snelle server hebben en er dan 
met een slakkengang near toe 
moeten, 

Virtualisatie is een techniek 
waarbij een fysieke server in 
logische stukjes wordt verdeeld, 
waarbij elk stukje zich voordoet 
als een complete server. Op 
zo'n server draai je je eigen 
operating systeem (Gast OS). 
Je krijgt dan ook je eigen Yoof 
rechten. 

Xen is zo'n virtualisatie concept. 
Paravirtualisatie noemen zij het. 
De reden is simpef om niet 
teveel sn el he id vertoren te doen 
gaan, meet het Gast OS lets 
aangepast warden. Daardoor 
wordt het mogelijk rond 95% 
van de oorspronkelijke snelheid 
behouden. Overigens maakt dit 
direct duidelijk dat Windows 
OSen niet mee doen, de bran- 


code is namelijk niet beschik- 
baar en zij kunnen dus niet 
geparavirtualiseerd worden. 

Internet Access Facitfties biedt 
sinds kort virtuele servers aan, 
dit vervangt haar Babyhosting 
concept. Deze servers zijn 
verkrijgbaar vanaf euro 19.96 
per maand. Voor dit bedrag 
krijgt u een IP ad res, 20GB 
diskruimte, 10G8 verkeer en 
mag u zelf root zjjn. 

lAF heeft de beschikking over 
een eigen serverruimte met 
diverse verbindingen naar o.a. 
Essent en Versatef En niet te 
vergeten, via de NDIX heeft lAF 
razendsnelle gfasvezelver- 
bindingen met o.a. het netwerk 
van de Universiteil Twente. 

Als kleine, professronefe full- 
service internet provider heeft 
lAF ruim 13 Jaar ervaring met 
het bouwen van internet 
gerelateerde oplossingen. Onze 
expertise ligt dan ook in het 
meedenken met de klant en het 
maken van technisch door- 
dachte maatwerkoplossingen. 

“Advertentte- 



Internet 
Access 
Facilities 

Internet Access Facilities levert kwalitatief hoog- 
waardige Internet diensten aan vele klanten in 
Noord- en Oost Nederland, 

Wat kunnen wij voor u betekenen? 


Eigen inbelvoorzieningen 
ADSL verbindingen 
Vaste verbindingen 
Domeinregistraties 
Tweekanaats ISDN 
Eigen server 
Webhosting 
Co-iocatie 


ADSL verbindingen 

volcontinu snel 
internetten is nu ook 
voor u weggelegd. 


Inforniatie: 

Internet Access Facilities bv 
Postbus 341 
7500 AH Enschede 


Internet voer parUcutter en MK8 $fip^ 1 &92 


Tel. 053 428 58 11 

Fax: 053 428 58 19 
E-mail: info@iaf.nl 
WWW: http://www.iaf.nt/ 
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Performance-tuning voor Linux-servers 


Boost je server 


Eduardo Ciliendo 

Vrij naar het motto „Wat het progrommo ook doet, donk- 
zij Moore's law wordt het toch elk jaar wel weer sneller" 
heerst er in de IT een rotsvast vertrouwen in de prestoties 
van moderne hardware. Maar met slimme optimalisaties 
tussen hardware en besturingssysteem kun je nu al stille 
reserves aanspreken en zo veel meer snelheid bereiken. 
iX helpt je met het huiswerk dat Linux-distributies niet voor 
je kunnen doen. 


Snellere reactietijden nodig? Belere 
prestaties? Systeembeheerders wordt 
soms gevraagd om onmogelijke eisen 
aan bcKtaande hardware waar tc 


maken. Helaas is een systeem met zes- 
tien processors nu eenmaal nicl zestien 
keer 20 snel als een computer met 
cen cxempiaar van dezelfde cpu. De 


eerste sysicmcn voor elcktronische 
gegevensverwerking uit dc jaren 
zcventig zijn ook een goed voorbecid: 
die waren dermate beperkt dat ze 
alleen optimaal werkten als dc hardwa¬ 
re het besturingssysteem en de appiica- 
tie perfect op clkaar waren afgestemd, 
Bij proprigtaire versies van Unix 
zoals HP-UX en AIX zie je dil nog 
terug. Deze zijn op diverse ponten 
specifiek voor bcpaalde hardware en 
voor speciaal gebruik geoptimaliseerd. 
Bij de vmw algcmcen gebruik bedoelde 
Linux-distiibuties is dat nicl zo. Je 
downloadt cen van dc voor allcrlci 
platforms bcschikbarc ISO’s, klikt in 
de installer een paar kecr op ‘next’ en 
je hebt een werkend systeem. Maar als 
je het uiterste uit je systeem wilt haien, 
ben je er daar nog nicl mce. 
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Linux funing-tutorial 

Deel 1 beschrijft algemene oplfmaiisotfes 

Deel 2 goal over tweoks voor de proces¬ 
sor en hef geheugen 

Deel 3 goal over fweoks voor nelwerk en 

harddisks 

De disclaimer 

Ga de besprokeii optimalisaties niet 
mcLecn op ccn pmducticscrvcr uilvtx;- 
rcn, maar probeer m eerst uit op een 
testsysteejo. Een pmameter die volgens 
onze statistickcn ccn sndhcidswinsl 
oplcvert, hereikt in een anclere omge- 
ving niisschien wel het onigekeerde 
effcck 7cn*slotlc: dicre is no silver bullet, 
A Is ccn bcpaalde parameter altijd een 
verbetering zoii oplcveren, zou hij stan- 
daard wel door de distribulcurs zijn 
ingcschakcid. Verder heb Je altijd te 
inaken met systeemlimieten: bij de I/O- 
elevator-luning zoals bcschreven op 
pagina 28 kun jc niet vcrwachten dat je 
boven de statistisch maximale snelhekl 
van 35 MB/s voor een norinaJe SCSI- 
harddisk uitkomt. 

We beperken ons bovendien tot ver- 
beteringen die de grootsl mogelijke in- 
vloed hebben bij minimale inspanning. 
Zo bespreken we wel kemelpjmmieTers 
in iproc, mam’ geen patches voor de 
kemeicodc. 


<|I-TRACT 

• Omdaf Linux steeds meer voor 
bedrijfskritische toepassingen 
word! gebruikt, moeten 
sysfeembeheerders steeds 
voker over Linux^specifieke sys- 
teemoptimalisalie nodenken. 

• Wear proprietaire Unix-versies 
vQok qI op de hordv^ore zijn 

□ angepask leidt het grole 
spectrum aon ondersteunde 
hardware ander Linux tot 
eigenaardigheden in het sys^ 
teemgedrag. 

• De bereikte winst kan warden 
gevisuaiiseerd met metingen 
von het systeemgedrog. 

• Een optimalisatie levert voor 
de gebruiker niet oltijd het 
verwochte resultoat op. 


Begrijpen, meten, 
tweaken 

Of je nu de prestaties van een gras- 
maaier of van een Linux-server wit 
verbetereii, het is altijd een kweslic van 
begrijpen (hoe werken de onderdelen 
sanien), meten en optimal iseren, waarbij 
deze laatste twee lei kens opnicuw m<x:- 
Icn gebcuren totdat hcl systeem doet wat 
Je wilt. Het begrijpen van hei totaalsys- 
teem is eigenlijk nog het belangrijkst en 
het mocilijksl, De hardwiire, firmwaie, 
drivers, het besturingssysteein en de 
appiicatie hebben allemaal invk>ed op 
elkaar. C)m wat triviale voorbeelden te 
noemeii: aan een multiprocessor- 
madiine heb je niet veel als je batchfilcs 
scricel uitvocn, en zelfs de beste ftleser- 
ver wordt tergend fangzaam als liij aan 
een iO Mbit half-duplex lijn hangt. 

Als jc zorgvuldig meet hocf Je geluk- 
kig nog niet per se gedetajlleerde kennis 
van elke systeenicoinponenl te hebben, 
Waan)m cen database blokken van 64 
kB van de harddisk leest inaakt niet 
zoveel uit, zolang je maar kunt nieten 
dal hcl gcbcurt omdat <K)k dc segment- 
grootte van het SAN of van de SCSI- 
controlier zo groot is. Linux bezit voor 
dil soort precisiemetingen gcwcUlige 
tools, die gebaseerd zijn op ervaring uit 
de niim dertigjange Unix-historie, 

IdcaUter begint hel optimaliseren al 
bij de aankoop van de hardware. Die 
vlieger gaat helaas niet altijd op, want de 
sysleembchcerdcr word! er vacik pas 
bijgeroepen op het moment dat de sys- 
teemprestaties een probleem worden. 
Desoridatiks is dc handwane een clemcn- 
tatre factor in het totale plaatje (figuur 
1 ), waarin alle componenten sanien de 
prestaties van het Lotaalsysteem bcpalen, 
Ook in cen tutorial over Linux-tuniiig 
moet vermeldt worden dat de andere 
elementen net zo’ii cenlrale rol spelcn, 
Jc kunt bijvoorbeeld met een nieuwe 
bibliotheek of een geoptimaliseerde Java 
virtual machine veel snelheidswinsl 
bcrcikeii. 

Bij hef uitkiezen van een Liniix-dis- 
tributlc moet Je jezelf niet richten op de 
bcsLc pncstalics, A lie distributics die ac- 
tuele kemelversies meeleveren kunnen 
in principe hoge prestaties leveren, 
Belangrijker is am te Iclicn op dc 
support, beheersbaarheid, hardware- 
ondersteuning en security. Zo test SAP 
zijn software bijvoorbeeld niet standaard 
op een distributie als Gentoo, waardoor 
Gentoo voor veel SAP-systeembeheer- 
ders geen optic is. 


Applications 

Lrbfaries - 


Kfiftifil • 



Firfrware 


Hard wore 


Tussen de tipplicuHes en de hardware 
bepalen diverse foctoren de systeem- 
prestaties (figuur 1). 

De archltectuur 

Verschillende Linux-distribulics Icvc- 
ren een hele zwik kemelversies mee, 
Vooral voor x 86 -compatibele architec- 
tumn is de keuze grooi. Zo zijn er i386-, 
1686 - en SMP“kernels, en dan heb je 
ook nog de bigmem- en hiigemem- 
kernels voor verscbillende lypen hmd- 
ware, Dc grcK)tste gcmcne dcler is tie 
i386-kemel,die alleen de standaardken- 
merken van Intels 32-bit‘aj'chitectuur 
gebmikl, Libunlu gebruikt deze bijvcK^r-^ 
becld als default, Deze kernel biedt 
echter geen ondersteuning voor nicer 
dan 4 GB RAM, SMP cn dc extra func- 
ties van een modem Xeon-systeem, Om 
een modeme processor goed te 
gebruiken, is een i 686 -kemel dus aan tc 
raden. Als de processor hyperthreading 
ondersteunt (waarbij twee logische 
threads tegelijk worden uitgevoerd), is 
de SMP-variant van de i 686 een nog 
betere keuze. Als de server dan CK)k nog 
met meer dan 4 GB RAM is uitgemst, 
mod jc bij 32-bil Inlel-systemen een 
bigmem- of hugeniem-kernel gebruiken 
om al die geheugenruimte aan te kunnen 
spreken, Dcrgclijkc kernels ondersteu- 
nen de 36-bit geheugenadressering PAE 
(Physical Address Extension), die da^ir- 
voor TKKlig is. Bij 64-bil pR>ccssors valt 
die beperking weer weg, zie pagina 22 
en volgende. 

Dc cnterprisc-dislribulies van Suse cn 
Red Hat ondersteunen met him SMP- 
kernel overigens standaard al meer dan 
4 GB RAM, In een tnullipmccssorsys- 
teem met zoveel geheugen is de 
beschikbare SMP-kernel daar dus de 
beste eerste keus. Met bet commando 
uname -a kun je zien welke kemelversie 
actief is. Om te zien of al het geheugen 
kan worden aangesproken, kun je free 
aanroepen en de uitvoer vergelijken met 
het beschikbare geheugen. Orndat diver¬ 
se moderne BlOS-versies een geheugen- 
gehied voor KH-resources reserveren, 
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32-bit-architecturen kunnen op hun 
memory pages alleen over de 4 GB- 
grens heen met behulp van PA£ 
(figuur 2). 


kunnen dc waarden we) een paar hoo- 
derd MB van hcl ingcplugde gchcogcn 
afwijken. 

32-l)it of 64-hit: Als do distribuUe 
eenmaal is gekozen, mciel je Je bij 
platformen die de AMD64^ of Intel- 
BM64T-instruetiesct ondersteunen de 
vrdug stellen of er een 32-bit ofeen 64- 
bit besturingssysteem gebruikt moet 
wordcn. Als dc soriware-Eipplicatic gcen 
expliciete eisen stelt, is het bij systemen 
met meer dan I GB RAM aan te niden 
oni de 64-bil vcrsie le gebruikcn. Vooral 
bij systemen met deze hoeveelheid 
geheugeii ontstaat er anders een over¬ 
head die lussen de 10 en 20 prxKcnt ligt 
Die wordt veroorzaakt door gehengen- 
fragjTientatie en het gebmik van PAE, 
zoals Ic /Jen is in figuur 2. 


Partities en pakketten 


Partitioneren: Over de optimale 
disk-layout kun je lung discussieren; er 
bestaan namebjk vele standaarden. Hr 
zijn een paar dingen waar je wel op 
nioel lelten. Harde schijven zijn op de 
binnenste sporen d(x>rgaans sncllcr dan 
op de buitensre, dus kun je partities die 
veel I/O geneieren het beste iuin de bin- 
nenkant /xitten. Dc scheiding van parti- 
ties op basis van /ulke T/O-karakleristie- 
ken heeft overigens alleen zin als de par¬ 
tities ook echt op twee verse hi lien dc 
fysieke schijven liggen. Andeiii Jaagt de 
schijfkop voortdurend van het ene spoor 
naar het volgcndc. Een database-I/O 
bestaat doorgaans vooral uit een groot 
aantal leesacties die doorgaans in grote 
blokoperaties plaatsvindcn. De hijbehc}- 
rende transact]elogs worden heel vatik 
met een klein beetje informarie 
bijgewerkl. Uit pcrrormanccopzicht is 
het dus niet slim om de database en de 
logdata op dezelfde harddisk te plaatsen. 
In dit voorbccld zou jc typisch dc data¬ 
base op een dedicated RATD-5-array 


met grote blocks plaatsen en de log-I/O 
op cen RAID-1-array. Zie tH>k pagina 
28. 

Pakketkeuze: De nieeste installers 
van Unux-distribLUics kijkcn niet op ccti 
paar MB meer of minder, Sommige 
softwarepakketten zijn inderdaad onmis- 
baar, maar bet is helemaal geen slecht 
idee om vanaf het begin alleen het 
hoogstnodige te installeren. Hoe voller 
cen harddisk, hoe langzainer de 1/0-ope- 
raties verlopen. Er zijn ook tools om 
onnodtg geworden pakketten te vinden, 
zt>aJs library’s waarvan oudere software 
gebniik maakte. Onder Debian kan dit 
met deborphan en defofoster. Voor 
RPM-distribuLies bestaat iets vergelijk- 
baars met rpmorphan. 

De kerneiextensie SELimix [1] con¬ 
trol eert bij o.a. Red Hat slandaard 
op gegevenstoegang met behulp van 
regels in een policy. Dat geeft extra vei- 
lighcid, maar kosl veel processortijd. Bij 
blootgestekle systemen als ii rewalls of 
webservers is dat zinvol, maar bij data- 
baseservers op cen intranet kan liet 
uitschakclen van SEIJnux veel sncl- 
heidswinst opleveren. Wie SELiniix 
gcactiveerd wil houden, kan nog de 
Access Vector Cache (AVC) bijstellen. 
Hierin wordt informatie gecached zoals 
bij voorbccld ‘Leestoegang van daemon 
apache op /vai /www/html/indcx.html is 
loegestaan'. Voor systemen met veel 
services of gebmikers wordt de cache ai 
gaiiw te klein. Met dc tool avestnt of via 
cai/selifUiJc/avc/hiish_stais is te zien hoe 
dc AVC presLcert. Liggen de waarden 
van dc zogenaainde longest chain’ 
haven de 10, dan is het slim om de AVC 
grote r te maken. Om de stand aardgrool- 
te van .5()() entries op 6(K) ic zetten, geef 
je als root de volgende opdracht: 

echo 600 > /selinux/ovc/hash_siofs 

Om deze instelling niet te vediezen 
na cen reboot, kun je dit commando in 
cen initseript /etten. 
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Ats je gebrufk maakf von SELinux con- 
froleert deze security mod tile in de 
kernel aan de hand van een policy of 
een bepoolde octie is toegestoan of 
niet (figuur 3). 


Alle rommel 
het roam uit 

Net als in de film 'The Exorcist’ 
geldt: teveel demonen in buis, dal kan 
niet goed zijn. Bij een Linux-server is 
het al het net zo. Je kuiit diverse dae¬ 
mons uilxelten /onder tegen pniblcmcn 
op te lopen. Daenions zijn systeemdien- 
sten die taken op de achtergiond uitvoe- 
ren en die jc gcrust ktinl deactiveren 
zolang je er niet afhankelijk van bent. 
Aan al die standaard ingeschctkelde 
diensten (zie kader) heb Jc op cen 
prodiictieserver niet veel. Een systeem- 
beheerder kan een systeem een stuk 
overzichlclijker maken d(K>r overbodige 
daemons radicaal uit te zetten. Dit kan 
met nisysv (RedHat), yasi (Suse) of 
rc~updare (Debian); maar wat zulkc 
tools in feite doen is het plaatsen t^f 
weghalen van symbolische links in 
/etc/rcX.d (waarbij dc X staat voor bet 
riinlevef diis bijvoorbeeld /etc/rc3.d 
voor nmlevel 3), gemarkeerd door een S 
met cen nummer, RunleveLs: Vcnnoc- 
delijk viiiden de Unix-specialisten die al 
wat ianger meegaan het maar niks, maar 
tegenwoordig is in veel IJnux-disLro’s 
runlevet 5 de systeem standaard. Dat 
betekenl dat de meeste Linux-distribu- 
lies dc graflsche gchruikcrsinlcrracc X 
standaard staiten. Maai' voor een server 
die haigere tijd zonder lokale gebniikers 
bij een hustinghedrijf staal, is dat licle- 
niaal niet nodig. Die kan prima toe met 
tnnlevel 3 (tekstmodus). Dat scheelteen 
berg resources en is stabicicr dan 
Gitome of KDE. Een tool als Yast2 is 
bovendien toch nog grafisch te gebrui- 
ken als jc dc machine waar zijn X-dis- 
play op moet verschijnen bijvoorbeeld 
via ssh-X instelt op Je lokale grafische 
Linux-wcrkskition. Otn default in teksl- 
modus te booten, hoef je alleen maar het 
standacU'd mnlevel van 5 in 3 te verande- 
ren in het bestand /eidiniitah: 

# The defaull runlevel h defined here 
id:3:initdefouit 

Tot de overbodige ballast behoren 
ook de virtiiclc terminals. Al is het na- 
tuurlijk wcl cen beelje pietluttig om op 
een modeme server met meerdere 
gigabytes RAM-geheugeii een paar me¬ 
gabyte Ic besparen door virtiiele 
terminals te deactivereii* Maar als cen 
Linux-systeem als extreem stanke Web¬ 
server moet fungcren of als virtuele 
machine moet draaieii, dan kan de/e 
optimalisatiemaatregel de moeite waard 
zijn. Elk gctry-proces heef! ongeveer 
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Overbodige ballast 


apntd 

De Advanced Power Management Daemon zorgt ervoor dal 
desktop- en laptop-installaties weinig siroi^m gebruikcn. 
apmd is overbi^dig op ecn Linnx-serverdie 24x7 in beddjf is. 

autofs 

De automount-service is handig omdat hij verschillcnde 
datadragers met allerlei bestandssystemen zoiider omhaal 
automatisch mount. Op een server gebeiiii het echter zelden 
dat filesystems even getnount en weer verwijderd warden. In 
zo’n geval kun jc piima zonder autofs. 
cpu-speed 

Deze daemon sluurt de vanabeie kloklrequcnlic van xH6- 
processors. Op ecn server heb je deze feature niet nodig. 
cups 

Het Common Unix Printing System biedt een scala aan piint- 
functies, maar is op computeni die geen printserver zijn en 
niet hoeven te printen overbodig. Bovendien scheelt het ruini 
I megabyte am RAM. 

gpm 

De/e daemon, die geheel los staat van X, zorgt ervoor dat er 
muisondersteuning is op de tekstmcwfe-consolc. Op systemen 
die alleen remote gebruikt worden of die geen muis op de 
console nodig hebben, kan gpm zonder enig probfeem wor¬ 
den uitgeschakeld. 
isdn 

Dc/.e service ondersteunt ISDN-communicatiehardware, 
maai- is bij moderne servers zelden nodig. 

kiidzu 

Kud/.u herkent en configureert nieuw^e hardware, Wei zo 

4 MB werkgeheugcn mnlig, maar meer 
dan twee viituele consoles zijn zelden 
nodig als gebruikers zich btjvoorbeeld 
via een secure shell (SvSH) aan- 
mcldcn. Jc kunl het aantal consoles dus 
zonder problemen tot twee redu- 
ceren om daannee viermaal 4 MB 
RAM-gcheugcn te besparen. Op een 
mainframe, die honderd virtuele 
Linux-servers beschikbaar stelt, is die 
MB v<H)r nuLLigere taken te gebrui- 
ken, De listing toont het relevante frag¬ 
ment in /efc/iniilah voor het deaclive- 
ren van dc virtuele terminals drie tot 
met zes. 

Kernel conipilcrcn: Tcnslotlc mtxj- 
ten we absoluut nog iets zeggen over 
zjElfgeeompileerde kernels. Voor embed¬ 
ded omgevingen is het compileren 
van een kernel cssentiocl, maar in een 
bcdrijfsomgeving moet je de snelheids- 
winst die een zelfgecoinpileerde kemol 
kan oplevcren niet overschatten, 

Jc zon kunnen kiczen voor het statisch 
linken van kemelmodules als je zeker 
weet dat er in ecn later stadium geen 
extra modules bijgcladen hoeven wor¬ 
den, Maar daannee win je h<.X)guil 1 tot 
2 proceot aan snelheid, terwijl hci sys- 
teem er in sommige gcvallen zelfs king- 


gebruikersvriendelijk voor worLslations of laptops, maar 
onwenselijk op cen server. Veninderingen aan serveitardwa- 
rc zijn immers zeer specifiek en aan change-management 
onderhevig. Het is dus niet eens puur uit j>crformanceoverwe- 
gingen dal Kud/.u niet op een server thuishooit, 
pciucla 

Deze daemon ondersteunt PCMCJ A-kaarten. Voor zover 
het .systeem geen laptop is, kan deze service probleemloos 
worden uitgeschakeld. 
rawdcviccs 

Via deze daemon krijgeo applicaties rechtsUeeks toegang 
tot harddisks zonder tussenkomst van een filesystem. Als 
er geen applicaties zijn die dit nodig hebben, zoafs bepaal- 
dc vcrsics van Oracle-software, kan de ondersteuning hier- 
voor rustig achterwege blijven. 
sendmaiJ 

Als Mail Transport Agent komt Sendmail vooral op mail- 
en groupwareservers voor. Op alle andere systetnen is deze 
mailer overbodig. 

sniartd 

HierbiJ gaat het om de daemon voor de ‘Self Monitor and 
Repotting Technology'-inlerfacc (S.M.A,R.T.). Je kunt er 
compatibele ATA- cn SATA-harddisks mee bewaken, 
maar niet de in seiTers gangbare SCSI- of SAN-disk-sub- 
sy stems, 
xfs 

De font-server voor X. Als de server in tekstmodus loopt, 
kun je xfs in elk geval voor runlevel 3 zonder problemen 
deacli veren. 


zamer door wordt. Bovendien is het 
tegenwoordig gebruikelijk om slanke 
kernels met veci los.se modules te bou- 
wen. Het grote voordeel daarvan is dat 
je daannee een ,stuk flexibcler wordl. 

Voorafgaand aan een nieuwe tnstalla- 
tie moet Je in elk geval de website van 
de hardwarefabrikanl raadplegcn, z^xlat 
je na dc installalie direct updates van 
drivers of firmware kunt uitvoeren. 

Zinvol zouderi ook optimalisaties in 
de processor scheduler (schede) kunnen 
zijn, voor een nog efficienter gebruik 
van SMP-systenien, zodat de cache hit 
ratio toeneeml, Maar v(H)r een IJnux- 
systeembeheerder in een bedrijf is het 
met name vanwege het verlies aan sup¬ 
port en de exponcnticel toenemende 
overhead aan onderhoud af te raden om 
zelf een kernel te compileren. 
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3^ ttitsckakftfon In 

tf getty-pr^tgrais for Xht noriat runUvets 
# ■'<id>":<runlfivels>:<actTorr>:<pfocess> 
i Tht Id field KUSr be the sane as the last 
S characters of the de^fice (after "tty" ), 

1 :Z345jrespaun:/sbin/iii1ngetty --noctear ttyl 
respawnj/sbin^iningetty ttyZ 
0:2545;respawn;/abinfiin^etty tty5 
fl4:Z345:respawn:/sbin/iln9etty tty4 
0:2545;fespawn;/£binfiingetty UyS 
J96;2545;respaun;fsbin/iin9etty tty6 
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Optimaliseren van processor en werkgeheugen 

Jongleren met chips 


Eduardo Ciliendo 

Aon de totale prestaties van een Linux-server dragen de 
cpu en het werkgeheugen verreweg het meesie bij. Welis- 
waar kun je de fysieke specificaties daarvan niet wijzi- 
gen, maar met een beter beheer van de gebruikte resour¬ 
ces is veel snelheidswinst te bereiken. 


M adat we in het eerste decl van 
de/.e tutorial over performance- 
B'W tuning algcmene maatregelen 
hebben behandeld voor het verbeteren 
van de prestaties van een Linux-server, 
gaan we in dit Iwcedc deel in op twee 
subsystennen: de cpu en hci werkge¬ 
heugen. 
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Bcidc hebben grole invjoed op de tota¬ 
le pre^staties van een server. Ondanks 
dat er geen software bestaat om deze 
subsystemen i nee ns een ta ndje hoger te 
schake!en,biedl het beheer van resour¬ 
ces nog mogelijkheden voor optimal i- 
salie. Zoafs eerder vermeld, moeten we 
ons qua analyselools en dc bijbehoren- 


de aanpassingen tot een selcctic beper- 
ken, niet alleen uit plaatsgebrek, maar 
ot>k vanwege de cnormc overvloed aan 
opties en ttK)is, Tueh bchandelen we 
hier het belangrijkste deel daarvan. 

Linux-server op de 
racebaan 

Melingen aan een systeem met 
honderd procent idle time leveren zel- 
den voldoendc goedc gegevens op 
om iets over de performance te kun- 
nen zeggen. In het algemeen dienen 
metingen aan servers under be lasting 
te gebeuren en uit beveiligingsover- 
wegingen uitenuird liever niet aan 
een produeiiesystecm. Vaak kun je 
een server echter niet coder recle 
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belasting observereti, onidat jc btj- 
voorbeeld nieuwc hardware lest of 
oindat de deHnitieve eisen die aan bet 
systeem worden gesteld nog nict pro- 
cies bekend zijn. In zulke gevallen 
zijn benchmarks een goed hulpmiddel 
voor het analysereii van de prcstatics 
dienen. Je inoel zc echlcr voorzichtig 
inlerprclcren, aangezien ze alleen 
bepaalde karakteristieken van een too- 
passing of een toepassingsgebied kun- 
nen simuleren. Een benchinark nioet 
qua systeemgedrag zoveel mogelijk 
lijken op de later in to zellcn toepas¬ 
sing, zoals Orion bijvoorbeeld pro- 
bcert voor de I/O v<in Oracle-dalaba¬ 
ses. Een minder goed voorbocld is de 
Lin pack-be nob mark voor I/O-taken. 
In dat geval maken de 367.000 GF- 
EOPS van de IBM BlueOcnc/L-su- 
percomputcr wcli.swaar veel indruk 
(zic on-line bronnen), inaar het snel- 
Kte compntersysteem ter were Id is 
wellicht hciemaal niet zo gesohikt als 
prinLserver. Zulke cijfers trekken wel 
veel inedia-aandacht, maar zijn in 
feite een soon Formulc I -nitslag in de 
IT. Goode resultaten op de racebaan 
iciden niet automatisch lot goodc 
prestaties en njcoinrort van oen per- 
soiionauto van dezelfde fabrikant. 

Als je Je eenmaal realisecri in hoo¬ 
ver re een benchmark wal zcgt over de 
praklijk, kun Jo met een benchmark 
wcl degelijk beiangrijke gegevens 
achterhalen. Wannoer ocn programma 
als lOzone vocir ocn harddisksubsys- 
tcom bijvoorbeeld een goede random- 
l/O-prestatie meet, dan ligt hoi voor 
de hand dat diczolTde systeempresta- 
tio ook bij gebruik op een fileserver 
hehouden blijft. Vanaf pagina 28 
wordt een aanlal preslatietests voor- 
gcslold voor diverse snbsystemeii, 
zoals de cache of bet network. 

Meten is weten 

Mcostal wordt het thema perfor¬ 
mance-tuning pas actueel wanneer de 
systeemprestaties nict (mcer) aan de 
verwachlingcn van de gebruiker vol- 

Inhoud tutorial 

Deel I: Inleiding, algemene opti- 
mab sal icmaalrege 1 e n 

Deel II: Snelle systeemiomponen- 
ten^ cpti's en gcheugen 

Deel III: Langzame subsystemen, 
harddisks on netwerk 


docn. Ondanks de hectiek die dan 
ontstaat, hoeft de systccmspccialist 
niet direct nieuwe hard- en software 
aan to schaffen, maar is het beter een 
blik op de prestatiecijfers van het sys- 
teem te werpen. Mel cen bcetje geluk 
cn do hulp van vooruitziende sys- 
teembeheerders zijn er langcdcrmijn- 
meiingen overdo afgclopen weken en 
maanden he-schikbaar— mooj in beeld 
gebracht en voorzien van grafisch 
voorgesteld cijfermalcriaal. 

Voor eenvoudige lange-termijnme- 
tin gen van systeemprestaties kun jo 
de systeem tools nmon cn sar gchrui- 
ken, Boidc kun Jo downloaden van het 
inLemet (zie bronnen), waarbij over 
,sar moet worden opgornorki dat doze 
in hot pakkot sysslat zit. Dit pakket 
maakt deel uit van alle gangbare 
lanux-distribuiies. Bij insiallatic slaat 
het vaak in de pakkclruhriek ‘System 
Tools’, het kan ook direct bij de 
maker worden opgehaald. Vooral sar 
is uitermate geschikl voor het samp- 
len van mcetwaarden over een langere 
tijdspanne. Zodra ergens een bottle¬ 
neck optreedt, kun Jo met deze tools 
nagaan wanneer en in welk subsys- 
teem die ontstond. 

Volledige processorbe- 
lasting onder de loep 

Vrijwel elke Unix-gebruiker kent 
de befaamde Unix-lool lop^ die sinds 
1984 beslaal. Hot programma is ide- 
aal om in realtime te zien wie en welk 
proces de meeste capacitoit vraagt 
van de epu, on bo von in het vertster de 
processor-load en geheugenbezetting 
visualiseert. Minder bekend zijn de 
filler- cn sorlccroptics, die gedocu- 
menteerd zijn via de help onder de 
toets Standaard wordt op de 
hoogste cpu-bc lasting ge.sorteerd, 
maar met de toetsen O of F kun Je via 
een menu ook sorteren op o.a. geheu- 
gengrootte en de looptijd op de pro¬ 
cessor. Kijk ook even goed naar de 
parameters: zo kun je met -5 dc lijd 


van oen proces en alle child-proces* 
sen cumulatief laten weergeven, be- 
paal je met -d dc vertraging tussen 
schermupdates en zet Je top met -b in 
een ‘batch mode’, waariii je de uii- 
voer van lop aan cen under program¬ 
ma of bestand kunt doorsturen. Lis¬ 
ting 1 toont een voorbeeldoulpui. 

Ook het eerdergcnocmde syxstat- 
pakkei be vat tools om dc maximale 
proccssorbelasting en van potent iele 
bottlenecks in het epu-subsysteem tc 
bepalcn. Een voorbecld is mpstar^ een 
uitslekende tool om de prestaties van 
uni- en multiprocessorsystemen tot in 
detail tc meten. Het analyse-interval 
cn dc analyseduur kun je naar helie- 
ven instellen. In de prakiijk is geblc- 
ken dat je een m/j.Tmr-analyse het 
besle kunl vorrichteri terwijl het sys¬ 
teem bijvoorbeeld een krilieke toepas¬ 
sing of een benchmark uitvoert of op 
een andcro manier wordt belast. Aan- 
bevolen wordt om parallel aan hot 
starten van de kritieke loopassing ook 
mpxiai met de parameter P ALL uir te 
voeren, Je kunt dit zo doen dat de uit- 
voer elke seconde wordt bijgewerkt. 
Standaard toont de tool alle intbrma- 
tic op dc console. Als je die infoniia- 
tie wilt opslaan, kun je de uitvoer 
beter naar cen bestand omleiden: 

mpsicit ‘P ALL 1 120 > /fmp/m pstof. report 


m De processorjs) en het RAM 
zijn crociale subsyslemen voor 
de tolole prestaties van een 
Lir^uX'Server. 

• Boftlenedcs m resoufCebeheer 
zijn te herkennen met behulp 
vgri metingen aan een server 
in bedrijf. 

• Bij schalingsproblemen moel je 
in elk geval een blik werpen 
op de specifieke toepassing 
die op de server moet draoien. 


ix mim 
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2t Output vun mpstat -P JILL 
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Zudra je over resultaten beschikt 
zeals die in listing 2 siaan, kun je die 
gaan analyseren. Per logische proces¬ 
sor in hcl sysicein genereert mpstat 
een entry, Dat heeft lot gevolg dat 
mpstat voor processors met InLcIs 
hyperthreading (IIT) of de symmeiri- 
sche multithreading (SMT) van de 
Power-processors van IBM lelkens 
twee maal zoveel processors weer- 
geeft als er fysiek aanwezig zijn. In 
hei algemeen geeft de Linux-schedu- 
Icr afwisseiend een fysieke processor 
en een logische HT/SMT-instance 
weer- In het geval van een 4-way HT- 
systeein zijn epu 0, 2, 4 en 6 ook de 
fysieke processors, terwiji epu I, 3, 5 
en 7 de logische processors voorstel- 
len. 

In dc berg aan gegevens die mpstat 
levcrt, zijn met name dc proccssortij- 
den iiileressant* die de cpu(*s) in de 
systeem- of kerne icon text (%system) 
respect level ijk in dc usercontcxl 
(%ff.ver) hebben doorgebracht. Hoge 
waarden bij %uscr zijn op zich posi- 
tief, oindat het systeem in dat geval 
daadwcrkeiijk de gewenste taken uit^ 
voert. Veel dtsorgcbrachte tijd in de 
systeemcontext wijst daareniegcn op 
iiicfficienlie* De oorzaak daarvan kan 
bijvoorbeeld liggen bij inefficient net- 
werkverkeer (meer daarover vanaf 
pagina 28), verkeerde drivers of 
dcfcclc hardware* Moge waarden bij 
de systeemtijd - waarden van meer 
dan 10% gedurende een iangere 
peri ode zijn verdachl - moet je zien 
in samenhang met de interrupts, voor- 
al zogenoemde hardware-interrupts. 
Als naasl een hoge systeemtijd enkele 
duizenden interrupts per seconde 
optreden, draait het systeem zeer 
waarschijnlijk verre van optimaal. In 
zo'n geval rest jc weinig anders dan 
de veroorzaker met minutieus detecti¬ 
ve werk op le sporen* Een belangrijke 
uitzondering vormen Java-loepassin- 
gen, die vaak zonder fouten een 
bovcngcmiddcld deel van de kernel- 
tijd opslokken. _ 


Schaalbaar of niet? 


Linux 2*6.X”Systemen kunnen ook 
informatie geven over de momenten 
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dat de processor mod wachten op een 
input/outpui-bewerking (%iowait). 
Hoge waarden duiden op een bottle¬ 
neck in het 1/O-subsysteem, bij voor- 
beeid bij harddisks. In zo’n geval zal 
een uitbreiding met snellere of meer 
epu’s nauwelijks performancewinst 
opieveren, omdai krachtigere proces¬ 
sors dan hooguit nog eerder in de 
wachtstand belanden. 

Vooral op systemen met mcerdere 
processors moet je aan de waarden 
van mpstat een groot belang toeken- 
nen. Vaak treden in hel processorsub- 
systeem bottlenecks op omdai de 
gebrutkle software niet over meerdcre 
processors wordt geschaald. Om hem 
schaalbaar te noemen, moet een Uye- 
passing minslens net zo veel subpro- 
cessen, respect level ijk threads starten 
als cr processors in het systeem aan¬ 
wezig zijn. Watineer een toepassing 
op bijvoorbeeld een one-way Linux- 
server een belasting van maxi maal 
H0% geeft en op een two-way server 
maxi maal 40%, dan is dat een sterke 
indicalie voor ontbrekende schaal- 
haarheid in de software, De Linux- 
scheduler zal zieh conform de SMP- 
gedachte alie moeite getrooslcn tmi 
dc proccssorbelasting zo symmetrisch 
mogelijk te vcrdelen, maar dat mas- 
keert enkel het feit dat een proccs een 
processor op een bcpaald ogenblik tot 
80% belast, terwiji een andere in de 
idle-modus wegdommcit. Een klas- 
sick voorbeeld hiervan zijn serieel, 
dus na elkaar uitgevocrde batch- 
scri pts. Een m ti 1 ti processorsyslcem 
kan die nooit sneller uitvoeren dan 
een unipRycessorsysteein. De prestatle 
wordt dan alleen bcpaald door hel 
aantal aantal instructies dat een epu 
per seconde kan uitvoeren. 

Niet storen a.u.b. 

Naast het schedulen van processen 
hehoort ook de interruptverwerking 


tot de hoof’d taken van de kernel. Als 
er een interrupt optreedt krijgl die een 
hoge prioriteit* De kernel zet dan alle 
toepassingen kortstondig stil om 
rekencapaciteit voor hel bchandelen 
van de interrupt beschikbaar te 
maken. Hcl onderbreken van een pro¬ 
cessor terwiji deze wLTkzaamheden 
aan het uitvoeren is, is echler nadelig 
voor dc prestaties, omdai hij daarhij 
(net als bij context switches) zijn pro- 
cessorcache moet Iccgmaken. Als de 
processor zijn oude werk vervolgt, 
moet hij vauaf de eerste cache miss 
deze cache weer met nieuwc gege¬ 
vens uit het RAM vullen. Dit verloopt 
ook nu nog cen factor langzamer dan 
bij level-1 tot level-3 caches,/tidal de 
processor waardevoile cycli at wach- 
tend moet doorbrengen. Interrupts en 
context switches zijn in modernc mul- 
lilaskingsystemen echter gemccn- 
goed. Je kum en will deze niet elimi- 
neren, maar zeker wcl optimaliseren. 
Als een Linux-server daadwcrkeiijk 
een groot aantal interrupls moet ver- 
werken, is het aan le bevclcn om cen 
processor enkel en alleen voor de 
intcrruplaBi an deling ic reserveren. De 
reden daarvoor ligt in het cnicieniere 
gebruik van de processorcaches en 
wordt in vakjargon vaak als ‘cache 
hotness' omschreven. Het idee is ove- 
rigens niet revolutionair, veel main¬ 
frames zeiicn voor I/O-bewerkingen 
dedicated processors in. 

Om een interruptiiuensieve taak 
aan cen spccifieke processor te kun¬ 
nen koppelen, moet je eersi de bron 
van dc interrupt lokaliseren. Laien we 
als voorbeeld een Linux-firewall 
nemen die een boci klelne of gefrag- 
memeerde IP-pakketten te verwerken 
heeft. Hierbij veroorzaakt de netwerk- 
interface de interrupts. De vraag is 
dan welke interrupt er achter ethO 
verborgen zil. Met antwoord wordt 
geleverd door dc uilvoer van ifconfig 
ethO met het IRQ-nummer. Als jc hel 
inlcrruplnummer hebt, kun je dit via 
echo I > /proc/irg/<lRQ_nummer>/ 
smp_afrtftity aan een specifieke pro¬ 
cessor koppelen. Achter het bestand 
smp_afftnity schuilt een bitmask, die 
aangeefl welke processors interrupts 
mogen uilvoeren. Stel nu dat het bij 
de voorbeeldfirewall om cen dualpro- 
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VM-Subsystem 

Het VM-subsysfeem ontkoppelf het fysieke geheugen van de andare kemelcomponenten. 


Disk 


ccssorsysteem gaat, Aangezten dc 
cpu-nummering bij 0 bcgint^ koppelt 
hel ccinimandn 

eciio 1 > /proc/irq/<IRQ_nummer>/snip_offinHy 

de interrupt mn dc ccrste processor in 
hcl systeem. In NUMA-systeinen 
(Non Uniform Memory Architectu¬ 
re), zoals de Optertin van AMD of 
eServer xSeries 460 van (BM, moel 
je eraan denken voor de interruptver- 
werking epu’s tc reserveren die zich 
‘diehthij’ de [RQ^bron bevinden, bij- 
voorbeeld de processor die via hyper- 
transport op het l/O-.subsysteem is 
aangesioten, 

Om een toepassing aan een bepaal- 
de epu te koppelcn heb je iasksei 
nodig. Deze tool maakt deel uit van 
het .schedutils-pakket. Je kunt er 
taken statisch aan 66f\ of meer pro¬ 
cessors mce koppelen. Voor de aan- 
duiding van epu’s gebruikt taskscl 
een hexadecimale bitmask. Het bit- 
mask ()(X)(H)002 bindt een proces 
bijvoorbeeld aan de tweede cpu. Om 
af te dwingen dat een draaiende toe¬ 
passing op dc tweede processor wordt 
uitgevoerd, heb Je de proces-ID (PiD) 
nodig: 

losksel -pid 00000002 <PID> 

Ook kun je via taskset cen nieuw 
proces met cen spccificke epu-affini- 
tcit starten. Hiertoe moet je naasl het 
bitinasker ook het siarlcommando 
opgeven, inclusier alle parameters. 

Het is overigens vetstandig om dil 
soort aanpassingen ic beperken tot 
uitzonderingsgevalien. Dc Linox-ker- 
ncl is in de meeste gevallen efficien- 


ler in het toewijzen van processen en 
interrupts aan processors dan een 
beheerder die dit handmatig doet. 

Metingen aan het 
geheugensubsysteem 

Bij geheugenkwcstics houd je je 
ondcr Linux eigenlijk altijd met liet 
virtual memory (VM) bezig en nict 
zozeer met het fysieke geheugen. Het 
VM-subsysteem wordt gevormd door 
het gemstalleerde RAM-geheugen eo 
de swapruimte. Deze swapspace kan 
een besland zijn of een of meerdere 
partities op de harde schijf. Gelukkig 
neemt de kernel samcn met de 
Memory Management Unit (MMU) 
van de processor het beheer eii de 
complexe omrekening daarvan op 
zich. Hierdoor kan een programma 
cen geheugenbereik aanspreken zon- 
der zich druk te hoeven maken over 
de positie in hcl fysiek gemstalleerde 
RAM. De kernel zoekt dus zelf uit of 
het geheugenadi'es zich in het snelle 
werkgeheugen of op de langzamere 
harddisk bevindt, dus voor een appIL 
catie is het type geheugen bijna altijd 
transparant. Verder zorgl de kernel 
ervoor dat ongebruikt werkgeheugen 
efficient als cache voor het filesystem 
wordt gebruikt, waardoor de toegang 


lot dc harddisk sneller wordt. Dat is 
belangrijk om te weien voordat jc 
begint met ineten, want dit is de neden 
dat dc Liitvoer van het commando 
free zelden reden tot paniek is, ook 

free btjvoorbeeld zegl dal er nog 
maar 1(1 MB werkgeheugen beschik- 
baar is in het systeem {listing 3). 

Een betrouwbaarderc indicator 
voor cen bolllcneck in het geheugen 
is de mate waarin de swapspace 
wordt aangesproken. Een cenvoudige, 
maar krachtige tool om dat te meten 
is vmstar. Deze tool wordt op de 
meeste Linux-systemen standaard 
gemslallccrd. Wanneer je vntstat uit- 
vocrl krijg je een overzicht van het 
re source-verb ruik sinds de laatslc 
boot. Roep je vmxta! echler aan met 
als ccrste parameter de paiize tussen 
elke meting (in seconden) cn als 
tweede het aanlal metingen, dan 
Icvcrt de tool actuele informatie over 
hei sysieemgedrag. Deze 'sampling 
mode* is ideaal als jc cen systeem op 
bottlenecks in het geheugen wilt 
onderzoeken. Een meting ziel er als 
voIgt uit: 

# vmslal t 120 >/imp/vjnslQt.reporf 

Dit commando start cen twee 
minuten durende scan, waarop elke 
seconde een meting wordt uilge- 
voerd. De uilvoer wordt voor hcl 
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gcmak in realtime naar hei bestand 
/imp/vmsta!.report omgcleid. Daarin 
vind je voor elke meetsccondc cen 
rcgel zoais de onderste in listing 4. 
Dc vierde kolom (free) Loont het vrije 
geheiigen, wat zoals vertcld echter 
een slechte indicator voor RAM- 
bottlenecks is, aangczicn de twee voi- 
gende kolom men, 1/O^buiTcr (huff) cn 
rile system cache (cache) beide het 
beschikbare geheugcn voor het ver- 
snellen van l/O-bewerkingen inzet- 
ten. Het is zinvoller om de waarden 
ondcr ‘Swapped In" (a/) en ‘Swapped 
Out* (ao) te bekijkcn. Deze waarden 
geven aan hoeveel kilobyte per 
secondc hcl syslecm in het werkge- 
heiigen heeft gelezen (si) respcetieve- 
lijk van u it het RAM-geheugcn naar 
de swap hccl't verplaatst (so). Als cr 
coiitinu geheugenpugina’s in cti utt 
hel RAM geschoven worden, dan is 
ook het bijplaatscn van wat extra 
RAM wellicht een aan ruder, 

Swappiness 

Waar in Linux 2A nog allerlei 
instellingen bestonden die hel swap- 
gedrag van de Linux-kerne I bepaal- 
den, /ijn deze in versie 2.6 tot sfechts 
enkele parameters vcrccnvoudigd. 
Via het //>rr?c-bestandssysteem kun je 
hcl swapper ccnvoudig maar efficient 
be'mvloeden. Dc waarde in /proc/ 
sys/vm/swappiness is een proccnluelc 
waarde die aanduidl met welke prio¬ 
ri teit het VM-subsysleem geheugen- 
pagina’s vanuit her RAM-geheugcn 
in het swapgeheugen opslaat. Rij 
deze aanpak gaat het oin uitersl effi¬ 
cient beheer van het werkgeheugen, 
waarbij gcheugenpagiiia's die lang 
niei meer zijn gebruikt in hel hard¬ 
disk subsysteem Worden opgeslagcn* 
lien waarde van 100% zet de kernel 
ertne aan om agressief inhoud uit het 
werkgeheugen op re slaan, lerwijl cen 
waarde van 0% hel VM-subsysteem 
motiveerl om ecrsl de cache en het 
biiffergeheugen leeg te maken. ^Stan- 
daard houden Limix-distriburies de 
gulden middenweg aan: /proc/sys 
/viri/swappiness levert vaak een waar¬ 
de van 50 (procenl) op. Systemen met 
cen gn)ot RAM, die bijvoorbeeld 
direct vanaf een Storage Area Nel- 
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work (SAN) boolen, kunnen van een 
lage waarde profitcren, omdat op 
deze wijze minder I/O ontstaat als 
gevolg van swapping in hel SAN. 
Aan de andere kant kunnen batchsys- 
lemon profiteren van agressief swap- 
gedrag. Een wekelijkse batchjob 
wordt op die manicr bijvoorbeeld 
kort na de uitvoering ervan vanuit het 
wer k gc h c ugen elders o pg e s lage n, 
zodat de geheugcnniimte voor later 
uit te voeren jobs beschikbaar is. Wij- 
/.igingen aan /proc/sys/vm/swappiness 
kunnen hetzij via cen echo, hetzi] via 
de AyActZ-interface plaatsvinden, Om 
de kernel tot agressief swapgedrag 
aan te zetten, zict dc er/if/-opdracht er 
als volgt uit: 

echo 100 > /proc/sys/vm/swoppiness 

of via sysvtl: 
syscll w vm.4woppiness=100 

Met de regel vm swappiness= I (M) in 
/eic/sysctLconf blijven deze wijzigin- 
gen ook na een reboot bewaard. 

Shared memory 

Gcheugen vretende toepassingen, 
met name databases, maken voor het 
synchroniseren van belangrijke pro- 
cessen gebruik van zogeheten shared 
memory. Werken met gegcvensslruc- 
turen in zo*n gemcenschappelijk 
werkgeheugenbereik gaat wat sneller 
dan de gebruikelijke IPC-varianten 
(interprocescommunicatie). Als een 
sysleein over veel werkgeheugen 
beschikt, is het in bepaalde omstan- 
digheden zinnig om de maxi male 
grootle van het shared memory aan te 
passcii. In het algcmeeri wordt aanbe- 
voien circa 50% van hel wcrkgelieu- 
gen voor de buffer-pools en de shared 
data structures van een database te 
alloceren. Gelukkig welen moderne 
databases heel goed hoe ze hun 
behcerdors op niel mis te verstaiie 
wijze kunnen laten weten dat ze 
meer shared memory riodig hebhen. 
Oracle cn D132 breken het opstarten 
dan ge-woon af met het verzoek om 
de systeemmaxima van het gemeen- 
schappclijke geheugen aan te passen. 

Het commando ipcs gee ft met de 
Optie -/m-de aetuele eonfiguratie van 
de RAM-configuratie voor IPC (zie 
listing 5). Om het shared memory aan 
een geheugen vretende foepassing aan 
te passen, stell de kernel drie 
optics ter beschikking. Dc parameter 
/proc/sys/kernel/shnmax benoemt de 


maximale hoeveelheid alloccerbaar 
shared memory (in byte) van een ge- 
heugensegment en /proc/sys/kernel/ 
shmali geeft de systeemoverkoepe- 
leiide maximumhoeveelheid in me¬ 
mory pages aan. in /proc/sys/kernel/ 
sfmmmi vind je het maximale aantal 
shared memory segments, dat jc in dc 
meesLe gevallen het beste op de stan- 
daardwaarde kimt laten slaan. 

Via de eerder genoemde sysctl- 
inlcrface kun je deze maxima aanpas- 
sen. Net aLs bij alle andere kernel pa¬ 
rameters gaan de wijzigingen na cen 
reboot verloren. Het is daarom raad- 
zaam nieuwe waarden voor shm/nax 
en shrnall in /etc/syscil.conf in te voc- 
ren, zodat ze bij het booien geacti- 
veerd worden. Dc maxiniale waarden 
voor het shared memory kun je als 
volgt met syscil aanpassen: 

syscll -w sys,kerneishmmQX'8074035200 
syscti w Jy3.kemei5bn>[na3(“1971 200 

Grootheldswaanzin 
met HugeTLBFS 

Bij systemen met zeer veel werk- 
geheugen kun je al naar gelang de 
architcctuiir bij het geheugen beheer 
tegen dc grenzen ervan aanlopen. 
Normaal gesproken beschikt elke 
processor over cen zogenoemde 
Translation Look-Aside Buffer (Tl^B), 
sncl gcheugen dat de adrcslabel bevat 
voor de convcrsic tussen virtuele en 
fysicke memory pages. Daarmee wor¬ 
den gchcugcnbcwerkingen versneld, 
omdat de TLB het fysieke adres 
voor een geheugenbewerking zonder 
omsiachtige omrekeiiiiigen bewaart. 
De TLB heeft echter cen beperkte 
grootte. Een virtuee! geheugen van 
.^^2 CjB hestaat uit minstens 8.388,608 
geheugenpagina’s van 4 kB,eeii hoe¬ 
veelheid die van de begrensde TLB- 
ruimte te veel vergt en daarom tot 
exce.ssicve ‘TLBMisses* kan leiden. 
Om toch omvangrijke geheugens te 
kunnen adresseren en de snelheids- 
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voordelen van de Translation Look- 
Aside Buffers le kunncn gcbruiken, 
bcdient Linux /ich van zeer grote ge- 
heugcnpagina's, zogeheten hu^e 
pages. Deze pagina's zijn normaal 
gcsprokcn al naar gelang de proces- 
sorarchitectuur tussen de twee en vicr 
megabyte groot. In btjvengcnocmd 
voorbecld zoudcn deze het aantal 
benodigde geheugenpagina's reduce- 
ren van 8388.608 tot 8.192, een 
waarde die de TLB heel wat eenvou- 
diger kan afdekken. De kernel stell 
deze grote geheugenpagina’s via het 
H u geTL B - fi I esy ste m ter bcschiidd ng. 
Als een toepassing het MugeTLBFS 
ondersteunt, moet het VM-snbsys- 
teem de huge pages eerst aanmakeii, 
Ideal iter gebeurt dit door een regel in 
/eic/sysvdxanf direct btj het starten 
van het systeem, omdat het werkge- 
heugen dan nog nauwelijks gefrag- 
menteerd is en op dat moment bet 
meesi geschikl is om in zulke grote 
bereiken in te delen. I let syscil-com- 
mando voor 16 GB geheugen in pagi- 
na's van 4 MB kan cr als volgt uit- 
zten: 

syscll ‘W sys.vm*nr_hugepoges=4096 

Dc invoer van sys ,vnLnr_hugepagc's 
-4096 in /eicLsysctlx'onf maakt de wij- 
ziging permanent. 

Complicaties door 
NUMA 

Een paar jaar gcicdcn werden 
NUMA-syslemen nog tot de exoten 
gcrckend, maar tegenwoordig zijn ze 
dankzij designs van AMD en IBM 
uiterst populair. Je merkt eigenlijk 
nauwelijks dat bijvoorbeeld een 
2-way Opteron-systeem het werkge- 
heugen met verschillende toegangstij- 
den per processor aanspreekt (van- 
daar dat het non-uniform wordt 
genoemd), NUMA-systemen kennen 
het prineipe van lokaal werkgeheugen 
en nietdokaal werkgeheugen (gcheu- 
gen dat lokaal is voor een andere pro¬ 
cessor of door meerdere processors 
wordt gedeeld), Daarbij beschikt clke 
epu respecticvelijk elke groep met 
processors, zoals bij de xSeries van 
IBM, over werkgeheugen dat de epu 
direct en daardoor bijzonder snel kan 
aanspreken. Daar staat tegenover dat 
Je ic makeii krijgt met grotcre latencies 
als je dit soon nicl-iokaai geheugen via 
een tweedc geheugencontroller aan¬ 
spreekt. De architectuur ondervindi 
een gevoelige prcsiaticarnamc wan- 


neer twee processors op hetzelfde 
moment het werkgeheugen van hun 
evenknie gebruiken. Als voorbeeld 
van 70'n situatie nemen we twee 
Apache-processen in een Dual Opter- 
on-server. Proccs cen draait op de 
eerste processor (CPUO), maar adres- 
seert helaas een viriueel geheugenbe- 
reik, dat fysiek in het werkgeheugen 
van de tweede processor (CPUl) ligt. 
Het tweede Apachc-proces docL pre- 
cies het tegcnovergestelde: het 
gchruikt de rekentijd op de tweede 
processor, maar draait in hcl fysieke 
geheugen van CPUO. Gelukkig zijn 
modeme Ltnux-kernels voorbereid op 
de heterogene architectuur van het 
werkgeheugen en kunnen ze proces- 
sen zoveel mogelijk optimaal over 
het systeem verdclen. 

Toch moet iK)k de meest intelli- 
gentc kernel het opgeven wanneer 
een proces meer werkgeheugen allo- 
ceert dan een processor of processor- 
groep aan lokaal werkgeheugen ter 
beschikking heeft* In dit geval mod 
de kernel tegen wil en dank naast het 
lokalc geheugen ook niet-lokaal 
geheugen te hulp roepen. Dit Ireedl 
bijzonder vaak op bij monolithische 
appticalies, die een parent-proces 
starten, dat de totale rekentijd evenals 
het werkgeheugen onder zJeh ver- 
eiiigt. Ook bijvoorbeeld de centra le 
instance van een SAF/R3-systeem 
kan zich op deze manicr gedragen. 
Als je NUMA-effecten ervan ver- 
denkt dat ze de veroorzaker van 
gebrekkige systeemprcslatics zijn, 
kan de tool nunmstat (onderdeel van 
het nwwj«d/-pakket) veelvuldige 
benaderingen van niet-lokaal geheu¬ 
gen aan het lichl brengen. Rij het 
analyseren van door NUMA veroor- 
zaakte bottlenecks moet je goed let- 
ten op rcgcLs met numa^miss en 
nama^oreign. Deze bevatten het 
aantal memory pages dat in het geval 
van numa_Joreign op een andere 
NUMA-node geadresseerd moet Wor¬ 
den, terwijl numa_mis\s het aantal 
geheugenpagina’s (bij x86_64-syvSte- 
men bijvoorbeeld 4 kR) noemt dat 
een proces bij vergissing op dc 
betreffende NUMA-ntHlc heeft probe- 
ren le adresseren. Vaak kun je nauwe¬ 
lijks verb inderen dat de kernel 
enkele geheugenpagina’s op een 
memory-controller in niet-lokaal gele- 
gen geheugen aanspreekt, Mocht de 
allocatie van meerdere megabytes 
echtcr onjuist zijn, dan kan dat het 
werkgeheugen een stuk langzaEier 
maken. 


Met numaal kun je de actueie opde- 
ling van het werkgeheugen identifice- 
ren in verschillende NUMA-nodes, 
dus soorten lokaal geheugenbereik. 
Het volgende commando loont daar¬ 
bij de hardwareiayout: 

nutnocll “hofdwore 

Daarnaast kan de systcembeheerder 
met deze tool toepassingen of proces- 
sen aan een NUMA-nodc koppclcn. 
Dat is echter af le raden, omdat de 
Linux-kemel het fysieke geheugen 
meestal beter beheerl dan met handma- 
tig ingrijpen mogelijk is. 

Wanneer een proces meer werkge¬ 
heugen verbruikt dan in de desbe- 
treffende NUMA-node fysiek aanwe- 
zig is, dan kun je het werkgeheugen 
uitbreiden of de toepassirig in mcerdc- 
re instances opdelcn (v<K>ropgesteid 
dal dc toepassing dit ondersteimt). Kijk 
je naar de benchmarkresultatcn van 
NUMA-sysiemen op internet (bijvoor- 
bccld SAP), dan liepen de betreffende 
toepassingen meestal met evenvccl 
instanties als het systeem aan NUMA- 
nodes bczal. 

Conclusie en vooruit- 
blik 

Linux gaal uiterst efficient met de 
ter beschikking gestelde resources om. 
Als je het geheugen- en proccssorsub- 
sysieem nog verdcr wil optimaliseren, 
moot jc je dus concentreren op speci- 
fieke toepassingen, die zo optimaal 
mogelijk mocten werken met de aan- 
wcztge resources. Hen systeemspecia- 
list kan ervoor zorgen dat allc proces¬ 
sors werk uitvoeren cn dat dit efficient 
mogelijk plaatsvindt, dus met een 
mini male systeemtijd en weinig cun- 
text-switches. Hetzelfde kunnen we 
zeggen v(K>r tuning aan het memory- 
subsystem, dat in Linux 2,6 ecu 
paar handige aaupassingsmugclijkhe- 
den bicdt. Hicr bestaat de hoofdtaak uit 
het meten en analyseren van hcl gc- 
drag van de Linux-server, om vervoL 
gens de resources zo optimaal moge¬ 
lijk v(x>r dc betreffende toepassing te 
kunnen inzetten, 

EDUARDO CIUENDO 

is werkzaam als Advisory IT Spe¬ 
cialist binnen de "Systems and Techno¬ 
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Linux-tuning III 



Optimaliseren van netwerk en harddisks 

Turbodata 

Eduardo Ciliendo 

Het heeft wel lets cools om netwerk- en l/O-fweaks te 
doen, want je kunt soms met vrij eenvoudige trues veel 
performance winnen. In dit artikel laten we een aantal 
TCP/IP-tweaks zien, gaan we in op NAPI en 1/0- 
scheduling en tonen we drie stabiele filesystems die sneller 
zijn dan het bekende ext3. 


G a er maar eem goed voor ziticn, 
want zowet het netwerk- als het 
hardciiskNubsystcem van LiiiUK is 
lastig te optimalisercn. Maar het zijn 
bijna altijd iX)k pnecies de plekken waar 
de lx)ttlenecks zitten cn waar dns de 
grootste performancewinst tc bchalcn 
valt. Net als in de twee vorige artikelen 
geldl (K)k hier dat hot cnorme aantal op- 
timalisatiemogelijkhedcn een vollcdige 
opsomming in de weg staat. We beper- 
ken ons daanim U)l dc parameters die de 
grootste invlocd hebben op de prestalics, 
Een nieuwe uitdaging vormt het feit 


dat dc spelers zich hier niet meer op de 
eigenlijke server hoeven te bevindeii, 
dus binnen de fysieke bchuizing. Xo is 
het bij grote harddisksubsystemen niet 
ongebruikelijk dat deze als afzonderlij- 
ke harddiskserver via een SAN (SU)ragc 
Anea Network) beschikbaar zijn, Rij net- 
werken zit hcL zu'ti bcetje in de aard van 
het beestje dat Je het systcem verlaat. 
Dal rnaakt ook tuning en prestatieanaly- 
ses van meer /aken dan alleen de server 
afhankelijk. Waar het bij pi\x;essors vol- 
doende is om de prestaties met behulp 
van benchmarks te bepalen, is het bij het 


netwerksubsysieem nooit zo makkelijk 
om te bepalcn ofde bottleneck in de ser¬ 
ver of in het one indig uitgestiekie net¬ 
work zit, Bij de navolgende analyse van 
netwerk en harddisks is de context dus 
veel breder. 

Metingen aan het 
netwerksubsysteem 

We beperken ons in dit artikel bij 
het netwerksubsysteem tot het wijd 
verhreide ethcrnct, ook al bestaan er 
met bijvoorbeeld ATM, Myrinet of 
InlnuBand nog veel meer netwcrktech- 
nieken. Een waarschiiwing vooraf: per- 
formancemetingen aan een netwerk 
zijn bijzonder complex, aangezien het 
prestatiegedrag van liet netwerk zich 
het meesf aan de analyse onltrekl. Het 
heipt daarom als je enige vereenvoudi- 
gendc vcrondcrstellingcn aanneemt. In 
het algcmccn kunnen inodeme servers 
ook bij kleine pakketgraottc een giga- 
bit-ethemei volledig belasten, dat wil 
zeggen dat de netwerkhardware tot aan 
het fysieke maximum (de line speed) 
wordt belast. Op basis van de TCP/IP- 
implemcntatic gcldt: ht)c groterde IP- 
pakketien, hoe efficientcr de communi' 
catie, Daarom is de gemiddeJde pak- 
ketgrootte erg belangrijk. Een pakket 
moet het liefst precies in een ethemet- 
frame passen, dus de ideale grootte is 
1500 bytes of een veelvoud daarvan* 
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Het voorbeeld in listing t tooni een 
syslecm dnt ongeveer 1,8 GB aan 
gegeveils heeft overgedragen. Dcl'I jc 
deze waardc door heL aantnl ovcrgedra- 
gcn pakkctlen, dan krijg je de gemid- 
delde pakketgrootte. Bij hct vot)rbcc]d- 
sysleein is een pakket gcmiddcld 334 
bylcs groot. Hier vail nog wel wa£ 
winst te boeken, Als de mogelijkheid 
bestaat otn de loepassingcn gmtere 
netwcrkpakkctten le laten gcbruiken, 
moet je dat zeker proberen. Dit is 
onder andere in te stelien bij services 
als NHS (als rsize en wsize mouni-op- 
ties) en Samba (socket options). 

Nare trekjes van 
plug-and-play 

Hct klinkt bijna aanmatigend, maar 
een van de sinipelste tweaks heeft te 
maken met autosensing, een standaard- 
feature van ethemel. De meeste net- 
werkkaarten en vele switchports detcc- 
teren hiemiee de netwerksnelheid. Op 
zich is autosensing geen probleem, 
maar het gebeurt regelmatig dat de net- 
werkinterface cn dc switchport zich 
niel insicllen op de grootste, maar op 
de kleinste gemene deler. Direct na cen 
installaiie valt dtl nicl op, omdat het 
systcem gewcKin netwerkpakketten kan 
ver/enden en ontvangen. Pas onder 
hoge belasling vallcn dc gebrekkige 


^.TRACT 

• Netwerk- en harddisksub- 
systemen zijn de long- 
zaamste componenten 
von een Linex-server, 

• Prestotiemebngen kunnen 
worden bemoeilijkt aan- 
gezien beide zich buiten 
de eigenlijke computer 
kunnen bevinden. 

• Kleine wijzigingen En 
bovengenoemde subsyste- 
men kunnen voor een 
forse presfatietoenorne 
zorgen. 


presraties op. Je 
kunt dat afleen 
achlerhalen door 
de interface-in- 
stellingeii na de 
installatie te ana- 
lyseren. Ook het 
programma cih- 
Kwi kan daarbij helpen. Dit levcrt veel 
informatie over de configuratie van 
een interface. Via efhiooi ^fhX (waarbij 
X voor het nummer van de interface 
slaal) kun je controleren met welke 
parameters de interface draait. Een 
regel met de gewenste snelheid in /etc/ 
modt4k\s.conf of /etc/modprobe.canf 
maakt de instellingen permanent. 

Enkele optimalisaties 
van TCP/IP 

Toen DARPA (Defense Advanced 
Research Projects Agency) dc TCP/IP- 
protocol familic ontwikkelde, was het 
viHimaamsie doel eeii hoge uitvaltoler- 
antic - per slot van rekening wilde men 
in geval van tH>rh)g tyfeatastrofes gewa- 
pend zijn tegen totale uitvai als gevolg 
van enkele weggevallen intemctnodcs, 
Ook de TCP/lP-stack in Linux besteedt 
specialc aandacht aan onbetrouwbare 
datalijnen. Bij een analoge lelefoonver- 
binding met internet is dat zinvol, maar 
bij servers in een rekencentmm overbo- 
dig. Verlies van pakkelten in modeme 
gigabit-ethernetwerken komt /je> weinig 
vcKir dat je met cen gems! hart enkele 
bcveiligingen kum deactiveren om bele- 
re prestaties te realiscrcn. Via het /proc- 
filesystem en dc .vyscrTinlerface kun je 
wij/igingen in het gedrag van Linux' 
netwerksubsysteem aanbrengen. Het 
AyvclZ-commando voert alleen een wijzi- 
ging uit op de draaiende kernel; eventu- 
eie wijzigingen moet je na een herstart 
opnieuw maken ol' vastleggcn in een bij 
de sysieemstart uitgevoerd script of in 
een regel in /etc/sy^iaix'onf, 

Als eersle moet je hct buffergeheu- 
gen vtK>r nctwcrkp^lkket^en vergroten, 
want de standaardifistellingen zijn vcK>r 
servers nogal krap. Daarioe vind je 
ondcT /procl^s/net/core/ de insteilingen 
voor de onrvaiigst- en verzendbuffer: 
rnmu^max respeetievelijk wmem_nmx. 
Een miHjie waarde voor beide is 8 MB 
en die stel je als volgt in: 

sysd -w neLcore.wuftem^max « B388608 

Om bijvoorbeeld TCP-gcbaseerde 
toepassingen het extra geheugen ook te 
laten gebruiken, moet je de buffer voor 
TCP-transfers eveneens vergrtHcn. Dit 


geschiedt via de entry's /proc/sys/nei/- 
ipv4/tcp_wment en /proc/sys/neh 
/ipv4/rmem^ Deze bestaan uit dric delen, 
namelijk de minimale, initiele en maxi¬ 
male grotitte van de TCP-buffer. Deze 
laatste moet overeensicmmcn met de 
waarde in /prachyx/net/core/^ bier dus 
8.388.608. In dezelfde stap kun Je ook 
de initiele waarde vergroten. Ben waar¬ 
de van minstens 174.760 lijkt hier zin¬ 
vol. Slrikt genomen moet je voor het 
aanpassen van de buffergroottc het 
zogenoemdc ’Bandwith Delay Product' 
berekenen, dal is samengesteld uit de 
band breed te in bytes en dc vertraging in 
millisecondcn. In vcrschillende tests is 
echter gcblekcn dat grotere buffers in 
bijna alle gevalien het pmstatievermo- 
gen van lokalc gigabit-netwerken vertie- 
teren. 

Onder /proc/sys/nei/ipv4 be v i nden 
zich nog ineer optics die dc systeem- 
prestaties omhtKig kunnen stuwen. Zo 
kun je de TCP-timestamps uilschakelcn 
als je die toch niet nodig hebt. Dit ge¬ 
schiedt opnieuw via xysctl, waarbij de 
waarde 0 de optie uitschakelt. Op deze 
wijze ontstaat bij een forsc Loename van 
TCP/lP'pakkcttcn minder werk voor de 
kernel. Voor de rest Run je de TCP 
SACK-opties voor lossy verbindingen 
deactiveren (in Linux 2.6.15 is SACK- 
pniccssing zelf overigens sneller 
gemaakt). Daartoe kun je op dezelfde 
manier in /prod~syx/net/ipv4/ de para¬ 
meters tcp_dsack, tcp^sack en iipjsack 
op 0 zetten. Een tip voor veelbezochtc 
webservers is om dc kernel eerder inac- 
lieve verbindingen af te laten breken, 
zodat resources voor nieuwe beztx:kcrs 
vrijkomen. Dal kun je instellen door de 
parameters tepJjnjimeout en tcp_keep 
alivedfm^ op 30 respeetievelijk ISOO tc 
zetten. 

Spccillck vtx>r gigabit-ethernet kan 
de snelheid van TCP-verbindingen 
soms worden opgehoogd door dc queue 
van te ver/t^nden pakketten op een net- 
werkinterface te vergroten, met bijvoor¬ 
beeld het corimiando ifeonfig ethO 
tx^ueuelen KXK). Ook het draaien van 
recente kernels kan een verbeiering 
opleveren. Sinds Linux 2.6.8 wordt 
BIC-TCP ondcrstcund, een TCP-uit- 
breiding voor beteie congestion control 
bij grotere TCP windows. In gigabit- 
netwerken bereik je hiermee een betere 
performance. Wegens een grove imple- 
mentatiefoui is dan wel Linux 2.6.11 of 
hoger aan le raden. Vanaf Linux 2.6.13 
kun je het te gebruiken algoritme voor 
congestion control zelf mslcllcn via de 
sysctl-parametcr ncLipv4icp_conges- 
tion_controL 
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orp_fcv() 






nelif_f^eive_slcbi$lnjd sk_bijff*skb) 


1 


process_backlog(strud nel device* backlog_deVj tnl * 

I 


)<rf^r)(_adicn(strud sohirq_adion *h) 

i ^ 


_ra i 5 e_st>ftirq_irqof f (N ET_RX_SOFTI R Q] 


nelif_rx_schedule| &q ueue"-*bocklog_dev] 


/neJ/core/dev.c 


int netif rx(strcid skj3uff*skb) 


Device 


NAP^weg 


Efficientere 

communicatie dankzij 
MAPI 

Op pagina 22 hebbcn we al aandachi 
bcslecd aan liel atliaiideien van inter¬ 
rupts door de kernel. Ook voor elk 
ctlicriietfnnne dat de network inter lace 
bcieikt, woixjt cen interrupt gegene- 
reerd, aan gen omen dal de interi'ace het 
Ixjslemde MAC-adres heeft. Dcm inter¬ 
rupt zorgl ervoor dat het besUiringssys- 
teeni alle taken die hci op dal moment 
uitvoert, tijdelijk neeriegt om zich met 
cen hogere priorileit met deze interrupt 
bezig te houden. Deze 'context switch' 
zorgl ervooi' dat de pnKcssorcache 
wonJt geleegd. Dit maakt een interrupt 
tot een kostbtire aiuigelcgenheid, aange- 
zien de kernel dan alie gegevens weer 
uit het minder snelle RAM-geheugen 
moot tnlezcn. Op zich is dat geeii pro- 
bleem, want mcestal treden cr siechls 
een kleine duizend interrupts i^er secon- 
de op. Wannecr een systeem echter dui- 
zenden of zelfs ticndiiizendcn nelwerk- 
pakketlen in onlvangst nioet nemen, 
leidl dal lot enorm veel interrupts. Bij 
kleine pakketten die duidclijk onder de 
framegroottc liggen en een gigabit- 
elhemei kan het echter voorkomen dat 
een modeme CPU zich volledig met de 
IP-stack moet bezighouden. 

VtHtr dit perfonnanceprobleem 
bestaat in het huidige Linux-netwerk- 
subsysteem een oplossing. In de 'New 
API ofwcl NAPl-implementatie teidt 
niet langer elk inkomend nclwerkpakket 
tot een interrupt. Vanaf een vooraf inge- 
slcld aantai binnenkoinetide pakketten 
per seconde schakclt dc interface over 
naar een polling-modus. Hierbij plaatst 
de nelwerkadapter de ethemetpakketten 
in een DMA-ringbulTer. De kernel kan 
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MAPI verkort de weg van 
netwerkpokketten in de 
kernel en zorgt voor 
minder interrupts 
(ofbeelding 1). 

deze alleen middels DMA 
onlvangen, zonder directe 
CPU-interventie, zoals in 
afl^eelding 1 vereenvoudigd 
is weergegeven, Vooral ser¬ 
vers die veel kleine IP-pak- 
keiten moeten afliandelen, 
kunnen duidelijk van NAPI 
profiteren. Overigens moet 
daartoe zowel de netwer- 
kadapler als de bijbehoiende 
module NAPI emdersteunen. 
Oudere drivel's voor netwerkchips van 
Intel bcslondcn in twee versies met stan- 
daard gedeactiveerde NAPI. Bmudeom- 
chtps, die door de meeste Linux-distri- 
butics via dc /gJ-module wordeii beoa- 
derd, bieden standaard slechls beperkte 
NAPi-onden;teuning. Maar dat kun je 
eenvoutlig met de driver van Broadcom 
zelf oplossen. Deze /?oM570fkm<xliilc 
heeft NAPI standaard geactiveercl en 
kan 70 waardevoile CPU-cycli besparen. 

NAPI bieiigt echter ook een nadccllje 
met zich nice. Omdat de pakketlen zoals 
beschreven in cen DMA-bufter belan- 
den en niet onmiddellijk via een inter¬ 
rupt bewerkt kunnen worden* kan de 
latency van het nelwerk loenemen. 
Meestal maakt dat weinig uit, maar vcxir 
welenschappelijke toepassingen die 
bijzonder I age lalency's vereisen, moe¬ 
ten we het gebniik van NAPI afraden. 

Altijd problemen met 
harddisks 

Het harddisksubsyslcem is van een 
beetje server het langzaamste subsys- 
Iccm, Waar snelheden van meerdere 
gigabytes per sccondc heel normaai 
zijn voor de processor en het RAM en 
gigabil-Llhcmet met 120 MB/s voor- 
bijsuist* doet een harddisk mci gemid- 
deld 30 tot 40 MB/s het rusiig aan (bij 
random access), De persoonlij- 
ke ervaring van dc auteur Icert 
dat meer dan de helfl van de 
perlbmianceproblemen die hij 
de afgelopen Juren tegenkwam, 
waren terug te voeren op dc 
harddisk als bottleneck, Vooral 
con vend onele serve rlakcii wer- 
den een Lintix-server vaak 
ntHidloUig. Anders dan een pc 
moet een server immers vele 
honderden gebruikers bedie- 


nen. Dit resulteerl in lutaal willekcuri- 
ge toegang tot de harddisk, 

Bij cen pc werkt de gebruiker zelden 
aan meer dan honderd bestanden lege- 
iijk, wellicht afgezien von enkele haid- 
corc-mulliiaskers. Waar Je bij een 
modeme multimedia-pc vixiral de lees- 
bandbreedte zo groot mogelijk will 
maken cn je liefst dicht bij elkaar lig- 
gende gegevensbiokken zict ('sin;am-ing 
read'), moet een server juist cen hogc 
l/O-presiatie levemn om de vele chaoti- 
sche aiinvragcn binnen een acceptabele 
termijn af te handelen. Dit sic It zo zijn 
eisen aan een disksubsysteem, Voor ser¬ 
vers is viHiml het aanlul fysieke hard¬ 
disks relevant, aangezien clke harddisk 
over cen onafhankelijke schrijf-/lecskop 
beschikl en z(>dix.mde dc I/O psirallel kan 
afwerken. De bandbreedte van de hard- 
diskimerface speelt duarbij zoals gezegd 
een ondergcschikic roL Je moet je dan 
ook niet dmir markelingpraatjes laten 
overbluffen - de beloofde 320 MR/s van 
de UlLra-32()“SCS I “Standaard bereik je 
alleen met cen grool aantal gckoppclde 
harddisks, Wat de fysieke opbtiuw van 
het harddisksubsysteem betreft doe je er 
het beste aan naar hci maximale aantd 
harddisks te streven. Vicr aan elkaar 
gekmKiptc, wat oudea' U160 SCSI- 
harddisks van IH GB kunnen een 
modeme U320-harddisk van 74 GB qua 
prestatics overtneffen, Ben slimme parti- 
tielayout kan daaraan nicts vcrandeien. 
Wie slechts ^n harddisk gebmiki Jaagt 
ondanks creaiievc pariUioiiering hooguit 
de schriJl-/lceskop vakcr over de mag- 
neetschijven. 

Nci als V(H)r de andere subsystemen 
beschikken Lintjx-pcrlbrmancespecialis- 
ten over efficiente tools ojn de prestalies 
van dc harddisk(s) nauwkeurig onder de 
loep te ncmcn. Vooral Linux 2.6 kan 
analyses vereeiivoudigcn, omdat deze 
nu bijhoudt hoe iang hij op gegevens 
mciet wachlcn. Met vmsiai^&4Hi met bijiia 
elke disinbutie wordt meegelcverd cn op 
pagina 20 al is aangehaald, kunnen een- 
voudige analyses worden uitgevoerd. 
Listing 2 loom de output van vtmtai op 
cen Linux-server met een emstige bot- 
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licncck in hcl clisksubsyslccm. Intcres- 
sant 7.ijn vooral de kolommen 'Blocks 
In’ {bij, 'Blocks Out* (ho) en 'Waiting' 
(wa). Blijkbaur wacht hcl proccssorsub- 
systeem van deze server aileen nog op 
diskoperaties, Zo'n bottleneck kiin je 
zclfs met extra CPU's nict opiossen. 

Harddisks doormeten 

AIk je vmsfai met de optie -f/ (in de 
zogcnocmdc disk mode) draail, krijg jc 
gedetaiileerde informatie over het 
harddiskgedrag. Wil je echter nauw- 
keurigerc gegevens, dan is ioslat uit de 
toolverzameling van sysstat een liitste- 
kend alternatief. Listing 3 laat zien 
welke gegevens iostat met dc optic -x 
vor)r cen hogcre mate van detail levert. 
Je kunt daarin zien dat het systeem 
gemiddeid 12 MB/s schrijft (wkB/s)* 
Deel je deze waarde dewr het aantal 
schrijfbewerkingen per seconde (v^/s), 
dan verkrijg je de gemiddelde iransfer- 
gro(}Ltc. Deze moet, zoals hiema wordt 
beschreven, zoveel mogelijk overeen- 
komen met de segment respeclievelijk 
striping-grooUc van het disksubsys- 
teem. fn dit voorbeeld is de gebruikte 
RAID-controller op een suboptimale 
8 kB ingcstcld, zodat de 30 I/O's van 
het Linux-systcem resuUeren in onge’ 
veer 1500 I/O's op het harddisksubsys- 
teem “ daar zou het ticn SCSI-hard- 
disks voor nodig hebben. 

Een van de belangrijksie optimalisa- 
tiemaairegelen bij Linux-servers zit 
dus in de transtergrootte bij het verkri jg 
gen van toegang tot het harddisksub- 
systeem. Zoals in het begin is gczegd, 
zijn de/e in dc serverwereid zelden 
begrensd in bun bandbreedte, maar wel 
in het maximale aantal l/O-opcraiics. 
Vuor opdmaal gchraik van de beperkte 
I/0-resoirrces moet de geactiveerde 
toepassing zoveel mogelijk grote Lrans- 
(ers d(K)rvocren. Aangezien dit per toe¬ 
passing verschilt, is het op deze piaats 
niet mogelijk een algemeen geldcndc 
pammcLer tc prcscnlcrcn. Toch kennen 
op zijn minst alle grote databases een 
adequate optie. Bij een klein disksub- 
systccni met 2(K) 1/O’s per scconde kun 
je met transfers van 4 kB 800 kB/s 
bereiken. Stel je de transfergrootle van 
de tocpas^si^g in op cen hoge waarde 


van 64 kB,dan kan hetzeUde harddisk- 
systeem voor een gemiddelde snelheid 
van bijna 13 MJi/s zorgen. Bovendien 
moet dc gemiddelde grootte van cen 
I/O-transfer in het ideale geval over- 
eenstenimen met de striping- of seg- 
menlgrooUe van de dcsbetreffendc 
RAID- of SAN-controliers. 

Vier l/O-elevators 

Zoals gezcgd, heeft cen server 
hoofdzakelijk met chaotische gege- 
venstoegang te kampen: op het 
moment dat mciicer Kuik cen mp3- 
bestand van cle Samba-server haalt, 
probeert mevrouw Jansen haar docu¬ 
ment op Ic slaan, Zondcr orde in dc 
I/O-chaos zou de leeskop van de hard¬ 
disk eerst naar de opslagplaats van het 
mp3-bcsland gaan om vcrvolgcns in 
een misschien wel heel veraf gelegen 
sector het document op te slaan. Tot 
ergernis van mevmuw Jansen kan dit 
wel een paar seconden duren. 

Om deze chaotische en vaak oneer- 
lijke (de diskoperalie van mevrouw 
Jansen is een stuk sneller afgewerkt 
dan die van meneer Kuik) toegang tot 
de harddisk le conlrolercn, beschikt 
Linux over I/O-schedulers. Deze bou- 
den zich bezig met het gelijkelijk ver- 
deien van de beschikbare disktoegang. 
Linux 2 .6 hccl't vier typen l/O-schedu- 
lers, die specifiek proberen te optimal i- 
seren voor gebruik in verschi lie tide 
toepassingsgebieden. Omdat de ge- 
bmikte sorteeralgoritmen hierin doen 
denken aan de mini male bewegiiigen 
die je bij lakelwerkzaamheden pro- 
beert te maken, heten ze ook wel I/O- 
elevators. We gaan ze alle vier even 
langs: 

I Anticipatory 

De l/O-elevator Anticipatory is de 
standaard l/0“seheduter van Linux 2.6. 
In plaats van een aanvraag direct te 
lezen of te schrijven, wacht hij een 
tijdjc of er mccr I/O in naburige sccto- 
ren volgl. Daamaast herprioriteert en 
ordent hij toegangspogingen om deze 
in ZD grooi en homogeen mi)gclijke 
operaties naar de harddisk te verzen- 


den, ten koste van cen kleinc extra 
latency, Deze optimaltsatie is geschikt 
voor inleractief gebruik op desktopge- 
bied bij ATA- of SATA-harddisks. 
Talloze benchmarks laten echter zien 
dat deze handelwijze voor servers met 
meervoudige SCSl-harddisks uiterma- 
te ongeschikt is, Daarom gebruiken 
veel commeiciele Linux-distributies 
standaard een andcre 1/O-eIcvaLor. 

I Completely Pair 
Queuing 

Dc elevator Completely Fair 
Queuing (CFQ) is de standaard I/O- 
elevalor van de enterprise-versies van 
Red Hat en Suse, Deze verdeelt de 
1/O-resources gelijkmatig over alle 
lopende processen door elk proces 
cen eigen l/O-qucuc tc geven en tel- 
kens een l/O-operatie per queue uit te 
voeren volgeiis het round-robin-algo- 
rilmc. Daaimce wt^rdL voorkomen dat 
een enkel proces alle andere blok- 
keert, zoals in bovengenoemd voor- 
bccld met het grote mp3-bestand, De 
CFQ-elevator laat in alle benchmarks 
robuuste prestaties zien. Als je niet 
abst>luut zeker bent wclkc eisen dc 
toepassing feitelijk aan het l/O-sub- 
systeeni stelt, is CFQ een solide 
kcuzc. Bovendien kun jc CFQ voor 
grotere disksubsystemen verder opti¬ 
mal iseren door de parameters van 
/proc/.\y.\/scst/nr_requesix aan tc pas- 
sen. Zoals al is aangegeven, moeten 
wijzigingen via het filesystem 

in het idcalc geval via de .s^.vcf/-inter¬ 
face of met een entry in /etc/ 
sysciLconf plaatsvinden. 

I Deadline 

De Deadline-scheduler legt elk pro¬ 
ces respeclievelijk elke l/O-oiJeratie 
een deadline op. Dil garandeerl dat liel 
systeem alle l/O-operaties binnen een 
bepaalde periode afwerkt. Zo worden 
hoge latency's zo goed als voorkomen 
en wordt zelfs realtime-gedrag bena- 
derd. De deadline-elevator is dan ook 
vooral geschikt voor toepassingeii met 
zockintensieve databases of OLTP 
workloads (On-Line Transaction 
Processing). In de praktijk laten de al- 
goritmen van CFQ en Deadline hij data- 
basesy stemen echter verge! ijkbare 
prestaties zien, zodat de deadline- 
elevator allcen na gedelaillcerdc pres- 
tatieanalyses wordt aangeraden. 
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NOOP 

De ’No-Operation’-elevatar zet I/O- 
operaties achter elkaar in een eenvou- 
tlige FIFOqucuc, cn doci vcrdcr 
helemaal niets aan de priori tei I of 
organisatie van I/O-operaties. Het is 
cius niet vcrwondcrlijk cfat hij wcrd 
ontwikkeld met het oog op geheugen- 
subsystemen die zonder onderscheid 
in tocgangslijden werkcn, zoals flash- 
geheugen. Deze scheduler is bedoeld 
voor a lie harddisksiibsystemen die 
dankzij viriualisatie voor hei bestu- 
ringssysteem verborgen blijven. Een 
virtuele server onder VMware, Xen 
of z/VM hccfl nu cenmaal geen zichl 
op het onderliggende harddisk Iand- 
schap. Hierdoor heeft het dan ook 
wciriig /An dc in- en uitvocr voor een 
niet-bestaand harddisksubsysteem te 
reorganiseren, Daarnaast kost her 


beheer van een FIFO voor de organi¬ 
satie van I/O-operaties nauwelijks 
CPU-cycIi, wat bij processorbclasten- 
de toepassingen goed van pas kan 
komen, Bij extreem complexe disk- 
subsyslemcn, zoals bij de TPC-C- 
benchmark (een simulator van een 
OLTP-systeem), moet je de NOOP- 
elcvator cr cvcnecns bij halen, aangc- 
zien het systeem anders veel proces- 
sortijd voor het sorteren van I/O-ope¬ 
raties kwiji is, 

A Is je de idcale l/O-elevator hebt 
gevonden, dan kun je deze via kernel- 
pmmcters in de booUoader aciiveren. 
Gebruikers van de bootloader GRUB 
kunnen op de regel met de naam van 
het kernel-image met de opiie eleva¬ 
tor = <elevaior> dc l/O-schcduler 
opgeven, De vier toegestane waarden 
staan voor de hierboven bcschrcvcn 
elevators: (de Anticipatory-schedu¬ 

ler), deadline en noop. 


Linux-server benchmorks 


Een bilk op de homepage van de Linux 
Benchmark Suite (zie bronnen) leert 
dat er een grole hoeveelheid preslatie- 
tests verkrijgbaar is. We noemen hier 
een selectie, waorbij we ons beperkeii 
lot benchmarks die enerzijds in bron- 
code beschikbaar zijn cn anderzijds ge- 
schikt zijn vooi' het testen van sei'vers, 
Een populaire benchmark als Bonnie 
ontbreekt, aangezien deze het gedrag 
simiileert van situaties die eerder op 
een werkslation voorkomen. De vele 
(mcestal commercielc) toepassingsge- 
baseerde benchmarks blijven ook bui- 
ten beschouwing. 

time: Dit is wel dc eenvoiidigste test 
voor systeemprestaties, waarmee je 
dc rckenlijd van een taak meet. Voor 
het meten van de processoiprestaties 
van een Linux-systeem gaat men 
daaron^graag uil van hcl rckeninten- 
sieve compileren van de kernel. Op 
een SMP-systeem laat je het make- 
commando zo parallel mogclijk func- 
tioneren, zodat alle processors aan het 
werk worden gezet. Een dergelijke 
’benchmark' zou er bij cen 4-way ser¬ 
ver zo iiitzien: 


# Hme moke -| 4 kernel 

LMBench; Met deze uiterst popiilai- 
re inicrobenchmark kun je de ver- 
schillende subsystemen van een 


Linux-server op bun bandbreedte en 
latency testen. Diverse vakbladen, 
waaronder /X maar ook testsites op 
internet, gebiuiken LMBench* Dit 
heeft liet voordeel dat er veel verge- 
lijkingsmateriaal beschikbaar is* 

lOzone, lometer: Met lOzone en lo- 
melcr staan twee uilstekendc tools 
voor gedetailleerde analyse van een 
harddisksubsysteem ter beschikking, 
Ze onderzoeken verschillende com- 
ponenten, zoals de memory-band- 
breedte, het filesystem, de l/O-eleva¬ 
lor evenals de fysiekc harddisks* Bij 
benchmarks van het filesystem moet 
je op de caching-eigenschappen van 
Linux letten, want soms kornt het 
voor dat de disk-benchmark alleen de 
bandbreedte van het werkgeheugen 
mect^ Syslemen met zeer veel RAM- 
geheugen moet je bijvoorbeeld met 
een boot loader-flag als niem=5!2M 
kuTistmatig begrenzen, zodat er min¬ 
der caching plaatsvindt* 

Netperfj Iperf; Voor het lesten van 
de IPv4- en IPv6-netwerkprestaties 
van een Linux-server zijn er de vrij 
verkrijgbare benchmarks Netperf 
lespecttevelifk Iperf* Beide “bieden“ 
verschillende prestatietests voor TCP- 
en UDP-verbindingen. Je kunl ze ook 
in een client/server-modus uitvoeren, 
om het gedrag van de netwerkinfrast- 
ructuLir bij veei verkeer te testen. 


Filesystems te kust en 
te keur 

Naast de fysiekc layout van dc hard¬ 
disk subsystemen cn hcl l/0“behccr van 
de kernel spelen ook filesystems een 
grote ml bij dc prestatics van een Linux- 
server. Er bestaan ecu hclcbocl verse hi 1- 
lende filesystems, van de standaard ext2 
via ReiserFS tot zeer professionele file¬ 
systems als XFS van SGI of GPFS van 
IBM. De keuze wordt vaak niet zmeer 
gedictcerd doc:>r prcs-lalies, maar vooral 
dcx>r idcecn als siabilitciL, of (Icicle 
ondersteuning van de distnbuteur en 
toepassiiigsspecificke afhankelijklieden. 
Ook a I is cxt2 cen van dc .snelste filesys¬ 
tems, niemand wit op een filesystem- 
chcck (fsek) van een multi-terabyte ser¬ 
ver wachten. 

Hieronder zullen we een selectie van 
vier Linux-filesysteins voorstellen, die 
elk hun eigen sterktes hebben. Onder 
uiieenlopcndc bclasting {bijvoorbeeld 
streamiJig- of random-I/O, grote of klet- 
ne bestauden, eenvoudige of parallclle 
toegang, et cetera) leveren ze uiteenkv 
pende [)restaties op. Indien niet anders 
aangegeven, d(x:n we uitspraken over 
parallelle en random access op bestan- 
den van ten minsle 4 kB groot. Daarmee 
hopen we een aanbeveling Ic kunnen 
geven voor het beste filesystem voor een 
Linux-server in zoveel mogelijk toepas- 
singsgebieden. VcK>r diverse spccialisli- 
sche filesystems is hier helaas te weinig 
ruimte, Zo zijn de pi'estaties van een 
grcK>t GPFS-illesystem in een wclen- 
schappelykc of multi mediaomgeving 
{streaming van zeer grote bestanden) 
nauwelijks Ic overtreffeii, maar is het te 
weinig gangba^tr. 


j ext2/ext3 

On dunks ouderdom mag je het 
Ex tended-2-filesystem niet ondcrschal- 
ten, want het behoort nog steeds tot de 
snelste niesystems. Wic geen snelle 
rcbuild-tijden of hoge dataeonsi stentie 
nodig heeft, kan ext2 op zijn shortlist 
zetten. Dank/ij de afwezigheid van jour¬ 
nal ing-meehan ism en is cxt2 klein en 
snel, Goede kandidaten voor ext2 (of 
exi3 in Vriteback'-mode, wat ongeveer 
equivalent is aan cxt2) zijn daarom 
bijvoorbeeld websei^ers die in een faim 
geexploileerd worden. 

De opvolger van ext2 heel exl3. Hicr- 
in hebben de Linux-ontwikkelaars ext2 
uitgebreid met een joumaling-fiinctie. 
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Als het iiiet op inaxiinale pnestaties van 
het filesystem aankoml, is ext3 cen 
goedc kcu/.e. Zo zijn ext2 en ext3 bij- 
voorbeeld de enige filesystems uit deze 
lijst die d{)or Red Hat olTicicel onder- 
stcund w<irdcn, ondanks de lage pnesta¬ 
ties. Om de prestaties van ext3 te verlio- 
gen is het vix)ral bij zeer grote filcsys- 
Lems aan te raden om het journal op een 
dedicated harddisk te zetten, Dit moet 
een fysiek toegcwezen harddisk zijn - 
het gcbruik van een paititie op dezelfde 
harddisk zal de prestaties eerder nadelig 
beinvk^dcn. Om een extern Journal Ic 
gcbruiken, moet je dit bij de 
cedure expliciet aangeven. llet volgen- 
de commando maakt op /dcv/sdhi ccn 
exO-lllcsystem met een extern joumaal 
op /dev/sdc I: 

inlce2fs J devke^/dev/sdc 1 /dev/sdbl 

Behalve deze optie kun je ook de 
mate van journaling aangeven. Als de 
eonsistentie cen .secundaire rol speelt, 
kan de m^^w«/-optie writeback iiet bij- 
houden van hei journal vcrsnellcn. Met 
cen journal in writeback-mode bereikt 
ext3 bijna de snelheid van ext2, maar 
met een beduidende snelheidswinsl in 
fsek-tijd na een crash. I^t wel op: als je 
de wijze van Journaling wijzigt, moet je 
ook de initial raindisk (initrd) bijwerken 
met mkinitrd of het gebruik van extra 
bootflags* zodai het filesystem niet ten 
onrechte cen schrijfbeveiliging krijgl. 

H ReiserFS 

Het siandaard filesystem van Suse 
onderscheidt zich door Journaling en ccn 
hoge performance, Voora! bij kleine be- 
standen staat ReiserFS wat betreft pies- 
taties aan de top. Ook is de administra- 
lieve rompslomp beduidend geringer 
dan bijvoorbeeld bij ext2, Linux-servers 
met veel kleine bestanden of complexe 
directorysiruclurcn, zoals news- of 
groupware-systemen, levcren met Reis¬ 
erFS merkbaar beteie prestaties. Bovcn- 
dien kun Je met de mownf-optie jdev een 
extern journal gebniiken, Daamaast 
kunnen de block allocator-opties has- 
hed_reimmion, no_unhashed_reloca- 
fion en de optie notail (die een fractie 
snelheid in slack space-berekeningen 
winl ten koslc van zo’n 10% diskruimte) 
dc prestaties in bepaalde omgevingen 
opschroeven - maar dit dierit v66r gc- 
biuik gtied gcLcst te worden. 

De gehypete opvolger van ReiserFS, 
Reiser4, mist nog teveel features voor 
gebruik op scrven; en is ook nog niet op- 
gcnomen in Linux 2.6. 


■ jfs 

Ook IBM's JFS bicdt cen huge per¬ 
formance, journaling en ondersteunl 
bovendren zeer grote filesystems en 
bestanden, JI-S gaat erg zuinig om met 
proccssorresourccs, ztxlat bet een 
goede keuze is bij een CPU-intensieve 
werkbelasting. Vooral dc doorvoer- 
snciheden kunnen van een grotere 
externe log profiteren. Om die reden 
kun je bij het aanrnaken van het file¬ 
system de optie -s met de gewenste 
grootte in MB gebruiken. Net als alle 
journaling filesystems kan JFS met 
exteme logbestandcn overweg, 

jfs_mkfj -i /dev/sdcl /dev/sdbl 

vervaardigt analoog aan het exr3- 
voorbeeld een JFS-filesystem op sdbl 
met een extern journal op sdcL 

■ XFS 

Het door SGI ontwikkelde XFS 
komt in veel analyses en benchmarks 
ais winnaar naar voren wanneer het 
gaat om de snelheid biJ grote en com¬ 
plexe bcstandsalbandel ingen (zoals 
video editing). Bovendien geldt XFS 
als stabieL zelfs bij zeer grote gege- 
vensstromen. Ook XFS functioneert 
bclcr indien het journal op een dedica¬ 
ted harddisk wordt bijgehouden en niet 
op de gegevenspaititie. DtK)r het aan- 
passen van de logbufter kun je de pres¬ 
taties verder opvoercn. Bij servers met 
voldoende RAM-geheugen kun Je zon- 
der mcer de tics bet reffende buffer op 
het maximum instellen. Met een entry 
in /etc/fstah kun je de buffers bijvoor¬ 
beeld vcrgrolen tot bijvoorbeeld 64 kB 
en het aantal verhogen tot 8 kB: 

logbuls ^ 8 
logbsii©- 64 

Daamaast profiteren Filesystems van 
de optie noatime. Als je deze in 
ietc/fsiab vemieldt, worden file access 
times niet vaslgchoudcn in de inodes 
van bestanden. Dat scheelt vooral bij 
filesystemen waarop kleine bestanden 
vcelvuldig worden geraadpleegd. 

m Raw filesystems 

In strikte zin zijn de zogenaamde 
Vaw filesystems' hclemaal geen 
bestandssystenien. Het gaat hierbij om 
direct door toepassingen beheerde par- 
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tities. In het verieden genoten ze voor¬ 
al in databaseomgevingen een grote 
populariteit. Doordat de toepassing de 
diskruimte zelf behecrl, kunnen ineffi- 
eienties van het besturingssysteam 
omzeild worden, Zo dienden raw file¬ 
systems er vooral toe om de op pag, 18 
beschreven eache-algoritmen van de 
Linux-kernel uit te schakelen. Sinds de 
konist van de direci-l/O- en async-l/O- 
algoritmen in de kernel zijn er weinig 
redenen meer om naar de minder flexi- 
bele raw filesy,stems uit Ic wijken. Bij 
gebruik moet je er alti jd op letten dat 
het buffergeheugen van de database 
voldoende groot wordt gedimensio- 
neerd, zodat feitelijk een efficiente 
caching plaatsviiidt. 

Een sterkere pinguTn 

Op dc v(Kirguande tien pagina's heb- 
ben we de performance van Linux-ser¬ 
vers behandeld en enkclc verbanden 
lalen zien binnen dit ihema. Ondanks 
dat de thematiek niet altijd triviaal is, 
bewijst Linux zich als cen uiterst 
kraehlig bcstunngssysteem, dat sys- 
teemspecialisten bij de tuning met 
uitgebreide infonnaiie en tools onder- 
steunt. Zoals aan het begin al gezegd, 
kunnen de hier genoemde optimalisa- 
lies en tuningpararneters gecn wonde- 
ren verriehten, maar een paar aanpas- 
singen op de juiste plants kunnen de 
systeempreslalies toch aanmerkclijk 
verbeteren en dat zo goed als voor 
niets, Naiuurlijk staan we open voor 
weinig bekende of niet-gcaoemde 
tweaks. 
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REVIEW 


Netwerktools 


Nmap 4: Nieuwe versie van netwerkscanner 

Netwerk-navigatie 


Rolf Spenneberg 



Voor administrators en 
penetratietesters is Nmap 
al heel wat jaren de 
portscanner bij uitstek. 
Onlangs bracht auteur 
Fyodor een nieuwe major- 
release met versienummer 4 
uit. De features die de 
afgelopen maanden zijn 
toegevoegd moeten dus 
groter dan gebruikelijk zijn. 
Reden voor iX om Nmap 4 
eens nader te bekijken. 


O m eeii overzicht van een net- 
werk te krijgen niaken beheer- 
ders rcgelmatig gcbruik van 
tools als Nmap. Zo knn je met nmap 
IOJO.19 23-45 J71-254 snel zien 

wclkc systcmcn in bcpaaldc (dech)nch 
werken online zijn en op welke poor- 
ten zij diensten aanbieden. Om dezelf- 
de redcn maken ook penelnitictesters 
bij de eerste stap graag gebruik van 
Nmap. 

Nmap mg het Icvenslicht in nitgavc 
51 van het online hackermagazine 
Fhraek in September 1997 (zie 'bron- 
nen'). De tool ontwikkelde zicb al snel 
tot de de facto standaard voor netwerk-_ 
scanners. Het programma is dan ook 
verplichte kost voor elke serieuzc 
administrator, De voormalige open- 
source vulnerability scanner Nessus 
heeft een plug-in waarmee je een paar 
van de meest geavanceerde features 


van Nmap als portscanner kunt gebrui- 
ken. Ondanks de capaciteiten van deze 
Um>1s is het belangrtjk dat je beseft dat 
kennis van de gebruikte systemen en 
diensten een basisvereiste blijft voor 
ccn gcfundecrde veiligheidsanalyse. 

Van alle markten thuis 

Nmap is het meest bekend vanwege 
zijn capaciteiten als tep- en udp-port- 
scanner. Het programma kan worden 
ingezet op zowel Unix- (Linux, Sola¬ 
ris, diverse BSD’s en Mac OS X) als 
Windows-systemen. Met name Win- 
dows-beheerders zullen blij zijn dat er 
sinds korl een Windows-installer be- 
schikbaar is met de WinPeap-driver, 
zodat je deze niet apart hoeft te down- 
loaden en installeren, Hierdoor doet 
Nmap het ook weer onder Windows 


XF, dal sinds Service Pack 2 het ge¬ 
bruik van raw sockets verhinderde. Als 
portscanner laat Nmap weten welke 
poorten er op een of rneerdere pc’s 
open zijn en of een firewall deze poor- 
ten beschermt. Oiitdekt Nmap tenmin- 
ste ccn open en een gesloten poort op 
het gescande systcem, dan kan bet met 
de optie -O het besturingssysteem op 
dit systeem vaslsicllen. 

Alleen al hicn'cw is het de moeile 
waard om een update naar versie 4 uit 
te voeren, want in September 2005 
hebben de ontwikkelaars meer dan 350 
nieuwe OS-signatures ('fingerprints') 
aan de database toegevoegd. Yerder 
schreven ze de portseaneode wat om, 
zodat het programma sneller is en nun- 
der werkgeheugen gebniikt dan zijn 
voorganger. Met behulp van een dmk 
op de knop kun je trouwens zien hoe 
lang dc ptirlscan nog duurt. Tijdens de 
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scan kun je door middel van v/V aan- 
gcvcn of het programma heel veel 
informatie moeten terugkoppelen of 
juist nieL terwijl je met d/D hcl debug- 
ging”lcvel inslelL Met p/P zet je 
'packet tracing' aan of uit. Met ? krijg 
je een overzicht van de bcschikbare 
optics. 

Niet alleen portscans 

Naast eenvoudige portscans onder- 
sleunL Nmap met -sO ook al gernime 
tijd zogenaamde protocolscans. Hoe- 
wel de mogelijkheden daarvan dtxpr 
veel adminslralors onderschat worden, 
kun Je daarmee bijvoorbeeld een VPN¬ 
gateway herkennen dtxprdal cr gebiuik 
wordt getnaakl van de protocollen ESP 
en AH. fn listing 1 zic je daarvan een 
voorbeeld. 

Spcciaal vixpr gebruik in gesloten 
LAN's heeft Fyodor, de grondlegger 
van Nmap* de ARP-scan ontwikkeld. 
Nmap gebniikt daarbij een ARP- 
broadcast om vast te stellen of een 
ip-adres in gebruik is. Komt er een anl- 
woord dan hoc ft hcl programma geen 
extra ICMP-pakketten meer te sturen. 
Dit is eeii veel snellere en onopvallen- 
dere manier van scannen dan een ping. 

Bronnen 

omop www.thc.org/lhc-aroop/ 

nmap wwwJnsecvre.org 

Phrack 51 www.phraek.ofg/phrock/ 
SI/P5M1 

Phrack 60 www.phfQck.org/phfack/60/ 
p60*0x0c.txl 

^-wnardering 

© snelle en grondige nelwerkscans 

© veel nievwe sconopties 

0 geeri geavanceerde fvnefies voor 
Windows 


Pcnetratietesters zullen bltj zijn met de 
mogelijkheid om MAC-adressen te 
spotifcii tijdens diverse scans inclusief 
dc ARP-scan. 

Een andere interessante optie voor 
penetratietesters is dc optie --hadsum, 
Hicimee genereert Nmap foulieve 
checksums voor versiuurde pakketien. 
De mcesle netwcrkslacks verwerpen 
zulkc pakketten. Uitgelokte reacties 
moeten daardoor wel afkonislig zijn 
van firewalls of 1 ntmsion-Detection- 
Systemen, omdat deze veelal niet naar 
checksums kijken. E^n artikel in uilga- 
ve 60 van Phrack (zic bronnen) laat 
zicn hoe deze techniek precies werkt. 

Look who's talkin' 

De belangrijkste wijzigingen heb- 
ben echter te maken met de herkenning 
van services, Sinds medio 2003 (3.40) 
is Nmap - net als zijn minder bekende 
collcga amap - in staat om te bepalen 
welke service er op een opensiaande 
poor! draait. Deze functic is sindsdien 
rcgclmatig be werkt en verbeterd, De 
database bevat inmiddels meer dan 
3150 signatures vtMX ruim 380 proto¬ 
collen. Zoals in het screenshot rechts- 
onder te zicn is, kan Nmap zelfs SSL- 
diensten herkennen. In het screenshot 
zic je meteen ook het 
grafische front-end van 
Nmap, dat je kunl instal- 
lercn als dc command 
line te verwarrend voor 
Je is. 

Ook tockomstige ver- 
sies van Nmap bevatten 
verbeterde funclies. Mo- 
mentcel wordt gewerkt 
aan een nieuwe imple- 
mentatie van de OS-hcr- 
kenning, zodat Nmap 
veel van de tot nu toe 
niet gebruikte details van 
de TCP-1 P-protocolfami- 
lie opeens wel kan 
gebruiken. Maar voordat 
de nieuwe c(xle praktisch 


toepasbaar is, moeten dc ontwikkclaars 
eerst dc OS-dalabasc opnieuw vullen. 
De oude is inmiddels zeven jaar oud en 
bevai 16(KJ verschillende 'syslemcn'. 
De nieuwe code kan zelfs Windows 
2000 en XP uit elkaar houden en de 
OS-herkenning op meerdere systemen 
legelijk uilvoeren. De hutdige versie 
kan dit nog niet. 

Ilclaas ondersleunt de Windows- 
vcrsic nog niel alle functies, bovendien 
zijn de scans trager* De ondersteuning 
voor IPv6 en en herkenning van SSL- 
dienslcn zijn ook nog steeds aan Unix- 
beheerders voorbehouden . 

Conclusie 

Als je in het verleden al eens 
gebruik maakte van Nmap, maar de 
recentc oniwikkelingen niet op dc vtxrl 
hebl gcvolgd, zul je versteld staan van 
de hoeveelheid nieuwe functies en de 
toegenomen snclhcid en nauwkeurig- 
held van de OS- en versieherkenning. 
Een update naaj' de nieuwe versie heeft 
zeker zin. Daarbij moot jc als bchccr- 
dcr wel even beslissen of je Nmap zeif 
compileert of de installer van de web- 
.sitc haalt. Deze laatstc bevat namclijk 
geen ondersteuning voor de herken¬ 
ning v;in SSL-diensten. 
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RAlDs met meervoudige pariteit 

Dubbel beschermd 

Michael Riepe 

Als je zonder veiligheidsmaatregelen omgaat met 
bedrijfskritische gegevens, ben je bijna verwijtbaar 
lichtzinnig bezig. Moor ook de gebruikelijke RAID'5- 
systemen bieden je maar beperkte bescherming tegen 
gegevensverlies. Reden waarom steeds meer fabrikanten 
RAID-controllers en hardeschijfsystemen aanbieden met 
een hogere redundantie. Als iX hebben we er eens een 
paar onder de loep genomen. 


R edundant Arrays of Independent 
Disks (RAID), die de gestan- 
daardiseerde levels I tot 5 ge- 
bruiken, ?.orgen vtwr opvang bij oitval 
van ^en harde schijf. In zo'n geval wer- 
ken ze weliswaar verder maar zonder 
de besehermendc redundantie zijn dc 


gegevens in dat geval niet beter opge- 
slagen dan op ciikclc harde schijf, 
Een volgende uitval legt het systeem 
alsnog lam en maakt alle gegevens 
corrupt, Weliswaar kun jc die dan via 
je back-up nog wel herslellen, maar dat 
kost lijd en dus geld. Ah niet alleen de 


eigen mcdcwcrkcrs maar ook klanten 
door deze uitval getroffen worden kan 
de nnanciele scliade al snel naar onge- 
kende hoogten stijgcn, 

Terwijl RAID 1 {Disk Mirroring) dc 
k(tns op een tweede defect nog beperkt, 
Ktijgt deze bij de andcre RAlD-levels 
naar onacceptabele waarden, Een 'ge- 
degradeerde’ RAID 5 heeft bijvoor^ 
bccld net zo veel kans uit te vallen als 
een RAID 0 (Disk Striping zonder re¬ 
dundantie)* En RAID 0 vertrouw jc op 
zijn hcK>gst Ujdelijke beslandeo toe, die 
je weer makkelijk opnieuw kunl gene- 
reren, Daarbij komt dat de array bui- 
icngewimn zwaar be last wordt zolang 
op de achtergrond dc rebuild loopt. 
Tijdens deze fttse, die enkele uren kan 
duren, bevinden de opgeslagen gege¬ 
vens zich dus in acuul gevaar, 

Het vanwege zijn hoge perFormance 
gclicrdc RAID 10 - ook RAID 0+1 ge- 
noemd - is ook geen wondermiddel. 
Weliswaar kan zo'n RAID dc uitval 
van mccrdcrc harde schijven aan* maar 
alleen ah dat in bejmalde co m binari es 
gebeurt. Als beide kanicn van cen mir¬ 
ror na elkaar kapol gaan, is het RAID- 
verband verstcHsrd, Hctzeirdc geldt 
voor de recentetijk ontwikkelde RAID 
1 E-variani voor array's met een oneven 
aantal schijven. Deze mirrort alle ge- 
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gevensblokken telkens op de eerstvol- 
gende schijf* A Is I wee buurschijven 
uiEvallen gaat daardoor ook een deel 
van de gegevensbiokken verloren* 

Weliswaar zijn de 'hogene’ R AID-le- 
veb zoals 15 (1+5) of 51 (5+t) ini- 
muun tegen de iiitval van twee wille- 
keurige schijven, maar daar betaa[ je 
wel een stevige prijs voor. Minder dan 
de he 1ft van de haj'de-schijfruiinle staat 
ter beschikkiog voor duadwerkelijke 
opsiag* RAID-lcvcb met meerdere pa- 
rilerten leveren een veel guns tiger ver- 
bonding op. De voorwaarde is wel dat 
je meer dan vier schijven hebi, 

Speciale hardware zet 
de vaart erin 

Jammer gcntKg konden dii soon 
systemen lot nu toe tijdens het schrij- 
ven niet de performance van een RAID 

5 of zelfs maar van cen RAID 10 be- 
reiken. Maaromdat de meesie applica- 
ties vooral met leesverzoeken de harde 
schijf benaderen, is de sehrijrsnelheid 
mecsLal niet zo bebngrijk. BelangriJ- 
ker is het dat de array na het uitvallen 
van een schijf nog genoeg redundantie 
over hceft om de kritieke rebuild-fase 
le kunnen overbruggen. 

Bovendien zijn er iniussen hard wa¬ 
re versne Hers op de markt die ook een 
RAID 6 snel kunnen maken. Zo biedL 
Intel bijvoorbeeid de Lot 800 MHz 
snelle l/O-proccssors IOP331 en 
IC)P333 met cen XScale-kern, een 
RAIDversneller en een PCI-X- dan 
wel PCl-ExprcsS‘bus, Deze worden 
ondemieer toegepast door Accusys, 
Promise en Qsan. Ook kom je regcl- 
matig de cliips van de Taiwanese fabri- 
k an t A rec a (w w w *areca .com .tw) tege n. 
Dit bedrijf wil echter in de toekomsl 
uit kostenoverwegingen controllers 
met dc single-chip-oplossing van Intel 
aanbieden. 

Hoogsle tijd vtK)r iX om eens een 
aanlal vcrschillende apparaten naar het 
testlab te halen voor een performance- 
test. Uit de reeks klassickc RAIDsys- 
temen met SCSI- of FC-aansluiting 
ontvingen we een Filer van Network 
Appliance, die ook NAS cn iSCSI aan- 
kan evcnals controllers van Areca en 
Promise. Graag hadden we een appa- 
raat uit de MSA-serie van HP met 
RAID ADG aan een test onderworpen, 
maar deze kwam heUias niet op tijd 
binneii* Hierdoor weten we niet in hoe- 
verre HP's RAID ADG (Advanced 
Data Guarding) van een gewone RAID 

6 afwijkt. De nogal vage beschrijving 


op de web-site van de fabrikant doel 
vermoeden dat de fabrikant cen verge- 
lijkbarc techniek gebruikt, 

Alle testkandidaten hebben we een 
aantal keer ondeworpen aan dc IX- 
benchmarks dread, dwrite en nfibench. 
Omdat de apparaten door hun verschil- 
lende uitrusting moeilijk met elkaar le 
vergelijken zijn, hebben we zc in ear- 
sic instantie ter referentie als een 
RAID 5 geconfigureerd. Daarna vueg- 
den we een extra harde schijf toe om 
deze naar RAID 6-gebruik om te zet^ 
ten bij dezeifde capaciieit. Dc mecste 
apparaten hadden aan /even of acht 
harde schijven voldoende oni dii test- 
iraject af re leggen. Alleen de Filer van 
NetApp gebruikte, vanwege cen instel- 
fout, iedere keer een schijf meer, 

Na metingen bij een Intacte RAID 
hebben we aJIe apparaten dc nfshench 
met 66n en daarna met twee falende 
schijven getest. Ook hebben we de nfs- 
fcmc/i“Waarden tijdens de crop volgen- 
de rebuilds gemelen. Het hierbij geme- 
ten prestatieverlies, vooral tijdens de 
leesacties, illustreert duidelijk dc extra 
re ken be I as ling voor her recon strueren 
van defcctc gegevensbiokken. 

Als restcompulcr gebruikicn wc cen 
TransLec HK)3L met twee 3,2 GHz 
Xcon-CPU’s en 8 GB RAM, met daar- 
op Suse Linux 9.3, De getestc SCSl- 
systeinen zijn op een ingebouwde 
RAIDcontroller van ICP Vortex aan- 
gesloten. Deze stond daarbij in de ^pas¬ 
sthrough'-modus. Een 2 Gbps snelle 
dual-port-HBA van Qlogic (de QLA 
2342) en een 4-Gbit-adapter Celerity 
FC-41XS van Alto zijn gchruikt voor 
apparaten met Fibre-Channel-aanslui- 
tingen. 

Eurostor 

ES-6616F-500 

In de 3U hoge behuizing van de ES- 
6616 kunnen 16 SAl'A-ILhardc schij- 
veii. Het icstcxcmplaar hevatte Hita¬ 
chi-schijven {Deskstar 7K500-500) 
van 500 GB en had een bruto capaci- 
teit van 8 TB cn twee 2 Ghp.s FC- 
Ports, Er zijn ook kleinere configura- 
ties verkrijgbaar. De apparaten zijn 
eveneens vcrkrijgbaar met U320- 


^-TftACT 

• De RAID-Ievels die je aonlreft 
in huidige RAID-subsyslemen 
kunnen meestal slechts 
overweg met de uitvol von een 
enkele horde schijf. 

• Met de komst van relatief 
onbehouwbQre SATA-schijven 
in qpslagsystemen hebben de 
Fabrikanlert nu de lijst van 
ondersteunde RAID-Ievels 
uitgebreid met niveous die een 
meervoudige poriteti biedan. 

• Door nieuwe 

hardwareversnellers heeft RAiO 
6 zijn [ongzome reputotie 
ochter zich gelolen. 


SCSI- of 4-Gbps-FC-inlerfaces. 

De Eurostor wcrkt met cen IOP321 - 
processor van Intel, die in tegens tel ling 
tot de IOP33J nog niet uil de voeten 
kail met RAID 6, cn de RAID 6-ver- 
sncllcr van Areca. Samen onderstcu- 
nen zij de RAID-levels 0, 1,0+1,3, 5 
en 6 alsmede JBOD (Just a Bunch Of 
Disks). Het hoofdgeheugen is stan- 
daard 512 MB groot, en wordl groleti’ 
deels als cache gebruikl. Hcl is tot 1 
GU uil le breiden. Een accumodule 
(Battery Backup Unit, BBU) is als 
optie vcrkrijgbaar, 

De ES-66(K) kun je via het inge- 
houwde panel met LCD-scherm confi- 
gureren. Dat kan ook via de scriele 
poort of dc ingebouwde Webserver. 
Bovendien maakt het apparaat gebruik 
van SNMP en stuurt het naar wens allc 
meldingen als e-mail naar de admini¬ 
strator. 

Tussen de host en de cache van de 
Eurostor viiegcn de gegevens met een 
topsnelheid van zo'n 191 MB/s been en 
weer, Als de harde schijven bezig zijn, 
wordt de unit bij sequcntiele benade- 
ringen nauwelijks langzamer. In RAID 
5 leest en schrijft de ES-66161'“5()0 per 
seconde 187 MB, terwijl in RAID 
level 6 de Icessnelheid met 185 MB/s 
hijna net zo snel is. Bij schrijfacties 
zakt het tempo naar 172 MB/s, maar 



Pas bij de uilval van 
twee harde schijven dan 
wel de rebuild ervan 
merk je performance 
verlies bij de Eurostor 
ES'^616F (afbeelding 1), 
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dal is nog steeds een erg goedc waar- 
dc. 

In de nfshench prcslcren RAID 5 en 
6 vrijwel gelijk. I^soperaties werden 
in bcrdc gevallen met circa 135 MB/s 
afgehandelcl, schrijfoperaties lagen 
rond 90 MBAs. Ecn ontbrckcndc hardc 
schijf heeft in beide modi hierop nau- 
webjks invlocd. Als bij RAID 6 echler 
een tweede hardo schijf uitvall, daaii 
het tempo naar ongeveer 120 MB/s bij 
hci Iczcn en 80 MB/s bij schrijfacties. 
Dc Iccssnelhcid wordt /oals verwachl 
nog ieis langzamer als de repamtiepro^ 
cedurc op de achtergrond aan de gang 
is. De hosi krijgt in die gevallen echler 
nog steeds 125 (RAID 5) dan wcl 105 
MB/s aangeleverd (RAID 6). 

Axus Yotta Yl- 
16SAEU4N-R3 


Axus levert een RAID-systeem dat 
sprekend lijkt op dat van Etiroslor, 
maar dat geldt a been voor de buiten- 
kant. In de Axus Yotta YI- 
16SAEU4N-R3 /.it cen controller met 
Intels IOP331 die 16 SATA-lI-schij- 
ven van Hitachi (Deskstar T7K250- 
250) aansluurt. Ons tcstcxcmplaar 
bracht het daarbij op 4 TB totalc capa- 
cilciL Maar menig leverancier biedt het 
appaniat uitsluitend als barebime aan. 
Dus hoc je de Yotta verder ui trust mag 
je helemaal zelf weten, 

Het tcstcxcmplaar bood twee LI320- 
SCSI-aansluitingen. Als jc dc vtH)rkeur 
voor Fibre Channel hebt kun je iiit nog 
twee mcKlellen kic/en. Een daarvan 
kun je met ecn tweede controller uil- 
riisten. Een sertele poort en een Fast- 
Hthernet-aansluiting /djn ook aanwe- 
zig. De ingebouwde Webserver maakl 
het beheer makkelijkcr, maar vereist 
wel een werkendc Java-iuniime-eiigi- 
ne. 

De basisconfiguratie van de Yotta 
kent 256 MB htKifdgeheugen. De 
DDR-SDRAM-module kun je vervan- 
gen door een exemplaar met hogere 
capaciteiu want dc controller kan tot 2 
GB RAM adres.sercn. Ecn optionele 
bufferaccu kan de cachegegevens be- 
waren tijdenseen slRMjmuiivaL 

Naast de gebruikelijkc RAID-levels 




Naast de 

gebruikelijke RAID- 
levels ondersleunt 
de Axus Yotta Yl- 
16SAEU4N ook 
RAID Triple Parity 
(ofbeelding 2), 


0, L 0+1, 3, 5 en 6 ondersteuni dc 
Yotta ook RAID 30 (3-M3) en 50 (5+0) 
alsmede een level met drievoudige pa’ 
riteit (RAID TP). Ook kun je meerdere 
schijvcn ‘achter elkaar' hangen. De fa- 
brikant noeml dc/jc gebruiksmodus 
‘NRAID\ wat zo veel betekend als 
‘Non-RAID', dus het bundelen van de 
sehijven zonder striping. In tegensteF 
ling tot RAID 0 verhcxigi NR AID nicl 
de performance maar slechts de capa- 
citeit van een volume. 

Dankzij 11320-SCSI kan de Yotta 
per scconde wel tot 263 MB iiit cache 
transp()rtcren maar dal gcbeuit alleen 
in RAID level 6. Bij RAID 5 wordt dit 
tcruggebracht naar 256 MB/s. Moge- 
lijk speck het aantal in gebruik zijnde 
harde sehijven daarbij ecn roK Wan- 
neer de host tiaar de cache schrijft, 
haalt deze bij RAID 5 nog alltjd 194 
MB/s. Bij RAID 6 daalt het tempo 
dccls erg .sterk. Klaarblijkelijk begint 
de unit al erg vroeg met het legen van 
zijn cache. 

Op dc sehijven schrijft de unit se- 
t|uentieel met cen snelhcid van 194 
(RAID 5) of met 171 MB per seeonde 
(RAID 6). Bij het lezen is RAID 6 met 
126 MB/s sncller: met RAID 5 haalt 
de Yotta maar I 17 MB/s. Opmcrkelijk 
is het echtcr dat hij snellcr schrijft dan 
lecsl. 

De nfshench Irekt de verhouding 
weer recht: het leestempo - 110 tot 
115 MB/s in beide bcdrijfsmodi — ligt 
tijdens willekeurigc bcnadcringen dui- 
delijk boven het schrijftempo (65 tot 
80 MB/s). Ook bij uitval van 6en of 
(bij RAID 6) twee sehijven, houdt de 
leessnclheid vrijwel stand. Tijdens de 
rebuild daalt die echler icts naar onge¬ 
veer 105 (RAID 5) dan wd 1 10 MB/s 
(RAID 6). Bovendien verlaagt het 

_ 

De Easy raid Q16+ U4R3 werkt 
met dezelfde controller als de 
Axus Yotta; ook deze kan bi[ 
gebruik van RAID TP de uitval 
von drie horde schifven aan 
(ofbeelding 3). 


schrijftempo zich in dat geval bij 
RAID 6 naar 60 lot 70 MB/s, 

t- Easy raid 
■ Q16+U4R3 

Dc unit van Easy raid heeft blijkbaar 
dezelfde controller als dc Yotta van 
Axus: van de Intel-processor iOP331 
met cen snelhcid van 667 Ml Iz en 256 
MB RAM tot en met de Java-webinter- 
face lijken de apparaten als twee drup- 
peis water op dkaar. Ook bij de SCSl- 
aanslu it ingen is er gecn vcrschil le ont- 
dekken, terwijl je ook hier een Fibre 
Channel variant hebt. Maar de Easy- 
raid 016+ met 16 SATA-II harde 
schijvcn a 500 GB (Seagate Barracuda, 
ST.35(K)641 AS) heeft wel twee maal 
zoveel brutocapaciteit. 

Minpunten scoort de testunit door 
de klep aan de v«K)rkanl. Als die geslo- 
ten is zie je de L.RDs van dc harde 
sehijven niel meer. Als deze open staat 
worden het LCD-scherni eji de bedie- 
ningsknoppen aan het gezichlsveld 
ontlrokken. 

Tijdens sequenlieel lezen en schrij- 
ven gedraagt de Easy raid zich volgens 
verwachting net zeals de Yotta: uii dc 
cache levert hij 248 (RAID 5) dan wel 
253 MB/s (RAID 6). Schrijvcn doet hij 
in beide gevallen met 197 MB per sc- 
condc. Daar blijft het ook bij als de 
cache vol is. Alleen bij nog grotere ge- 
gevenshoeveelheden zakt het schrijf¬ 
tempo naar 190 MB/s of lager. Het lee- 
sienipo stabiliseert zich dan op onge¬ 
veer 120 MB/s. 

Nauwelijks langzamer leest de 
Easy raid tijdens de nfshench. Met in- 
lacie RAID 5 of 6 levert het apparaat 
mnd dc 115 MB/s, tijdens de rebuild is 
dat rond de 110 (RAID 5) dan wel 105 
MB/s (RAID 6). Daarentegen laat het 
schrijftempo nog wel wat te wensen 
over. Bij intaete RAID ligt dat name- 
lijk 20 rond de 50 MB/s en daalt dit bij 
falcnde schijvcn en tijdens de rebuild 
nog verder naar 35 tot 40 MB/s. 
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ChdO^e ASRoek 


Supports FSB 10OOMHl (2,0GTis}, 

1 X Future CPU Port {Supports CPU upgrade from AMO 
K3 939*Pln CPU to AM2 940'Piri CPU through AM2 CPU Board) 
Supports Dual Channel DDR400. 4 OIMMs slots 
^,;,jport5 GtgacM,!. <CM00 : 

SuDQomNVlPiASl *^^: 2 1 
PCI s 16 

1 ^ IEEE t394 Porin 1 x PCI Express x 4 slot 
4 ports of Serial ATA II 3,0Gb/$^ support RAID (RAID 0 
RAID 1, RAID 0+1. JSOD. and R^IO 5J, "Ho^Plu^* 

S.i Channel ‘ 


Socket 939 for AMD Athlon 64/64FX/64X2 
processor 

ULl M1697 -HVlJlSS^chlpset 


AM2 CPU Board 


ASRgck eSATA»l+j394 UO 2«SATAII ports. 1 x IEEE 1394 Port 


939SLI-eSATA2 

Socket 939 for AMD Athlon 64/64FX/64X2 processor 
UUM1697 chipset 



Supports FSB 1000MHz (Z.OGTfe) 

► 1 X Future CPU Pori (Supports CPU upgrade from 
AMD Ke 939-Pln CPU ta AM2 940-Plr CPU 
through AM2 CPU Board) 

•Supports NVIDIA SU'“ 

• Supports Dual Channel DDR400.4 DiMMs slots 

• 4 X Serial ATAII 3.0 Gb/E ports, support RAID 0. 1. 

0+1. JBDD and RAID 5, and “Hoi Plug* functions 

• 2 ports of eSATAft 3.0Gb/s. support "Hoi Plug' function 
■ PCI Express x 16 slot, PCI Express x 1 slot 

- PC] Express x B slot, to adopt Znd PCI Express x 16 
VGA card and other PCI Express x4. xZ. x1 interface cards 

- 5.1 Channel with High Definition Audio 

- Windows Vista Hardware Ready 




K8SLI-eSATA2 

Socket 754 for advanced 64-bit AMD Athlon 64 and 
32-blt / 64-hit Sempron procesaora 
ULJ M1697 chipset 



■ Chipset capable to FSB 1000 MHz {2.D GT/s). 

Supports DOR400, 2 DlMMs sJote 

■ Supports NVIDIA SU'** 

■ 1 X Future CPU Port (Supports CPU upgrade from AMO KS 
754-Pin CPU to KB 939-Pin CPU or AM2 940-Piri 

CPU through 939CPU Board or AM2 CPU Board) 

- PCI Express x16 slot, PCI Express x 1 slot 

PCI Express x a slot, to adepl Znd PCI Express x 16 
VGA card and other PCt Express x4. x2. x1 Interlace cards 

■ 4 X Serial ATA II 3.0Gb/s, RAID 0. 1. 0+1. JBOD and RAID 5. 
and “Hot Plug* functions.and 2 ATA 133 IDE ports 

• 2 X eSATAlt 3,ClGtj/s , support “Hot Plug* function 

- 5,1 Channel with High Definition AucfioJ(Vl 00 Ethernet LAN 

• Wlr>di>ws VistB Hardware Ready 







939Dual-SATA2 

Socket 939 for AMD Athlon 64 /64FX /64X2 processor 
ULi 1695 chipset (ULl M1695/ ULl M1567) 



■ FSB 1000 MHz (2.0GTfe).Dual Channel DDR400 memory 

■ Hyper-Transport Technology. AMD Coorn'Quiel Technology 

■ ASRock Future CPU Port: AM2 Socket upgrade interface for 
ASRockAMZCPU Board (optional) 

• PCI Express x16 VGA interface 

■ AGPSX VGA interface 

PCt Express Xl slol,2 IDE ports (ATA133) 

■ PCI Express SATA U (3.OGbfs) controller on board 
Seri a I ATA 1 .SGbfs, RAID 0,1, JBOD 
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K8NF4G-SATA2 

Worldwide Best Internal Graphics on 
K8-754 Platform 

Socket 754 for 64-bll AMD Athlon 64 and 32-blt 



/64-bit Sempron processors 
nVklia GeForce 6100 chipset 

- Chipset capable to FSB tOOO MHz (2.0GT/s), 
Hyper-Transport Technology, AMO Coqrn'Qujet 
Technology 

• fnlegrated NV44 graphics DX9.0 VGA , Pixel 
Shader 3.0 .Max shared memory 128MB 

• PCI Express x 16 slot for VGA interface 

■ PCI Express x1 slot 
DDR400/333/Z66, 2DIMM slots 

■ 2x SerlalATAII 3.0Gbfsports. RAID 0,1.JBOD 

• 7,1 Channel with High Deflndion Audio 

’ Windows Vista Hardware Ready 
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Tussen host en 
cache moakf de 
Infortrend Eonstor 
A16F^2422 
volledig gebruik 
van de Fibre- 
Chonnel-verbinding 
van 4 Gbit 
(afbeelding A}* 


Hitachi's controllers ondersteunen 
de RAID-levels 1,0+1,5 en 6, Zc be- 
perken echter wel de grootte van de 
array. Een RAID 0+1 of RAID 5 mag 
niaar uit maximaul 16 schijvcn be- 
staaii* een RAID 6 uit maximaal 30, 
Dc gebruikcr kan echter totl 25 arrays 
aanmaken. 

De WMSiOO ondersteunt SATA^H 
nog niel. Voor de iX-test kregen wij de 
beschikking over dc basismtxlule met 


Infortrend Eonstor 
A16F-G2422 

De Infortrend Eonstor is een SATA- 
11-syslccm met 16 harde schijven (Sea- 
gate ST35()064I AS, 5(K1 GB) en twee 
Fibre-Channel-aansluitingen van 4 
Gbps, De hijbohoretide FC-adapter van 
Atlo leverde de distributeur vricndclij- 
kerwijs meteeji mee. 

De vcrwerking doct de Eonstor met 
een PowerPC 750FX van 6<.K1 MHz cn 
256 MB DDR-SDRAM, Het hoofdge- 
heugen kan daurbij lot 2 GB uitgebreid 
Worden en met een accumodule gc- 
bufferd worden. Een afzonderlijke 
ASIC (Applicaliun Specific 1C) helpl 
de processor bij de berekeningen van 
dc RAlD-checkstiins. Het apparaai on- 
dersteunl RAID-levels 0, 1,0+1,3, 5, 
6,30,50 en 60, JBOD en NR AID. 

De configuratie gebeurt middels de 
eerste van dc twee scrielc poorten. De 
tweede is bestemd vtKir het aansluiten 
van een UPS. Via Fast Ethernet kan de 
administrator allcen maar een Telnet- 
verbinding met de unit opbouwen of 
de meegeleverde Java-software 
'RAIDWatch' gebruiken. Deze werkt 
onder Windows, Linux, Solaris, AIX 
en MacOS en maakt het mogclijk 
mccrdcro RAID’s centraal ce beheren. 

De gegevens gaan met maximaal 
379 MB/s over dc sncllc FC-aanslui- 
ting van de Eonstor heen en weer — 
echter allccn in de RAID-6-niodiis. 
RAID-Level 5 remt de cache bij het 
Iczcn af naar ongeveer 264 MB/s. Tij- 
dens het schrijvcn varieeri het tempo 
Eussen 254 MB/s en de topsncihcid. 
We waren eveneens onder de indruk 


van dc leessuelhetd vanaf de harde 
schijvcn: onafhankelijk van het RAID- 
level staat de wijzcr op 266 MB/s. Se- 
quentieel schrijven duurt echter be- 
hmiflijk lunger met maximaal 127 
(RAID 5) dan wel 138 MB/s (RAID 
6 ). 

Tijdens de nfshmeh is het omge- 
keerde te zien. Tcrwijl hcl sterk wisse- 
lendc schrijftempo af en toe de 140 
MB/s kan bereiken, daalt de leessnel- 
heid naar 90 (RAID 6) lot 95 MB/s 
(RAID 5). Een defecic RAID 5 leesl 
nog maar met 70 MB/s, terwijl tijdens 
de rebuild het tempo nog verder zakt 
natir zo^w 36 MB/s. RAID-Level 6 remt 
bij dc ccrsic defccte harde schijf naar 
66 af, bij de tweede naar 62 en tijdens 
de rebuild naar nog maar een schumele 
26 MB/s. Zelfs zonder ASIC-versnel- 
ler zou je uit de geinstallecrde schijven 
mccr inocien kunnen halen. 

Hitachi Tagmastore 
WMSIOO 

Hitachi Data Systems (HDS) biedt 
met haar model WMSIOO meer dan 
een eenvoudig RAID-subsysteem aan. 
Dc 4U hogc basiseenheid (DF700- 
RKXS) kan worden uitgebreid met tot 
zes 31J hogc schijfmodules (DF700- 
RKAJAT). leder onderdcci kan daarbij 
15 SATA-schijven bevatten. De basiS’ 
eenheid be vat bovendien een of twee 
RAID-controllers met een 5(K) MHz 
PowerPC-CPU, 512 MB accuge- 
bufferd RAM, twee 2 Gbps FC^poor- 
ten en een Fast-Hthcmel-uansluiting. 
Het hoofdgeheugen kan uitgebreid 
worden naar 2 GB per controller. 



De Hirachi Tagmastore 
WMS 100 verraadt zi[n 
afkomst van de 
enterprise-systemen van 
HDS, Alleen moet fe als 
gebruiker nog op de 
SATA-IFondersteuning 
wachten (afbeelding 5}* 
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RAID 6 


Pariteits-bits & bytes 


Wie legenwoordig eeo RAID-systeem 
koopt, krijgt gewoonlijk een vnorge- 
conhgureerde RAID 5 gclcverd. Hen 
uitzondcring vormen de Filer-syste- 
men van Netapp.die stiindaard RAID- 
level 4 gebriiiken- Hci vcrschil is ech- 
ter gcring: beide beveiligen de gebmi- 
kersgegevens met een reiatief cenvt)u« 
dige eXclusive-OR-paritcit. Terwijl 
bij RAID 4 alle pariteitinformabe op 
een harde sditjf wordl opgeslagen, 
verdeelt RAID 5 deze gelijkmatig 
over alle dccinemende schijven (af- 
beelding A), Hierdoor voorkomi men 
dat ^en schijf - bij RAID 4 de pari^ 
teitschijf - zwaarder belast wordl dan 
de underen- Maar zo*n hoge bclasting 
kun Je ook anders reduceren, bijvoor- 
beeld diX)r slim te cachen. 

Wiskundig bekeken varmt iedcr pari- 
teilsblok dc som van de erbij behoren- 
de gegevensblokken. Weliswaar zijn 
de wiskiindige operalies lets anders 
dan dat je ze nog van school knnt her- 
inneren - de getallenruimte is be- 

RAiD4 


RAID 5 



ontbrekende vierde blok volgcns de 
formule A-F-B-C-D berekenen. 
Een RAlD-controller doet precies dat 
op hei momeni dat er een bardc schijf 
uitvalt. 

A Is er echter twee schijven sink zijn, 
volstaat de eenvoudige pariteit niet 
meer: de pari icitsvcrgelij king be vat 
dan twee onbekenden en daardoor is 
bij niet meer eenduidig op tc lossen - 
de opgeslagen gegevens zijn verloren* 
Hulp biedt een tweede pariteil, die 
normaal gesproken volgens dc formu¬ 
le 0 = aA + hB + cC + dD opgebouwd 
wordt. Ais Je de coefficienten a t/m d 
goed kiest* vormen de beide pariteit- 
vergeJijkrngen een verge! ijkingssys- 
teem met twee onbekenden, dat weer 
np te lossen is* RAID level 6 werkt 
gewoonlijk volgens deze techniek (af^ 
bedding B)* Veel apparaten bieden 
met RAID 6+ of RAID TP (Triple Pa^ 
rity) ook RAlD-levels aan met drie 
verschillcndc pariteiten. 

Nochtans zijn de tweede en derde pa- 
riteii mocilijker te berekenen dan dc 
eerste* Eenvoudige RAlD-versndlers 
- de zogeiiaamde XOR-engines - 
kunnen allcen maar optellen* Indien 
de hardwareondersteuning vot^tr de bij 
RAID 6 noodzakdijke vcrmenigvuldi’ 
giiigen ontbreekt, moet de controller^ 
firmware een deel van de berekenin- 
gen op zich nemen. Ook neemt het op- 
lossen van het vergdijkingssysteem 
meer tijd in beslag ten opzichte van 
een enkele verge! ijking. Gebmikers 
moeten voor doze hogere beveiliging 
tegen uitval onder omstandigheden 
dus een geringere performanee op de 
koop toe nemen. 

Schuin slankt of 





06 tweede pariteit Q is bij RAID 6 
weliswaar over alle schijven 
verdeeldf maar is ingewikkelder te 
berekenen (afbeelding i). 


schijf over en bevat hij een blok van 
de cerste pariteitschijf. 

Deze slimme liuc vereenvoudigt de 
hersieipiocedure. Als ecrsie berekent 
RAID DP uil de di agon ale pariteit de 
inhoud veui de cerste uitgevallen harde 
schijf, vervolgens daaruii in combina- 
tie met de horizomale pariteit die van 
de tweede. Omdat er alleen maar een¬ 
voudige eXclusive-OR-operaiies no¬ 
dig zijn en geen vergelijkingssysteem 
opgelost hoeft te worden, hoeft de 
controller beduidend minder intensief 
te rekeiien ten opzichte van een RAID 
6. De harde schijven worden liierbij 
wei wat meer belast omdal er meer 
gegevensblokken voor doze pariteitbe- 
rekening nodig zijn. De hogere belas- 
ting kun je echter door geschikte ca¬ 
ching-algor itmes reduceren. 

Tussen RAID 4 en RAID DP km dc 
gebruiker op elk tijdstip omschakelen: 
de controller voegl op commando een 
reserveschijf (hot spare) toe en slant 
daar de extra pariteitsgegevens up. Bij 
eeti online-wtssel tussen RAID 5 en 6 
meet dc coniroller extra gegevens- en 
pariteitsblokken verschuiven. Ais het 
RAID-level zich niet online laat ver- 
anderen* moel je eerst alle gegevens 
back-uppen, de RAID opnieuw confi- 
gureren en vervolgens een restore uil- 
voeren. 


Terwijt RAID 4 een schijf voor 
pariteiten gebruikh verdeelt RAID 5 
de pariteiten P over alle schijven 
(afbeelding A)« 

grensd en in plaats van optellen en 
vermenigvukligen worden de eenvoti- 
digere eXclusive-OR- cii schuitbewer- 
kingen gebruiki - maar toch blijven de 
wiskundige wetten gekien. Zo kun je 
bijvooibeeld uit de pariteit A ^ B 
+ r + D eti drie van de deelnemeiide 
gegevensblokken de inhoud van het 


Network Appliance bewandch met 
RAID DP een lelwat andere weg. Ais 
basis dicni een RAID 4. waarvan de 
pariteit zich zoats normaal laal bcrckc- 
nen (afbeelding A), De tweede pariteit 
bcrekcni RAID DP volgens dezelfde 
en eenvoudig te berekenen formule, 
maar dan uil een andere combinatie 
van gegevensblokken: de Filers bere¬ 
kenen P zoals gebruikelijk horizon- 
taal, Q daarentegen diagonaal (afbeel¬ 
ding C), Bovendien slant de diagonale 
pariteit daarbij iedere keer een harde 


RAID DP 



Bij RAID DP bereken ja Q uit da 
diagonale combinatie van n-1 
gegevensblokken en A 
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15 SATA-schijven van 250 GB (Hita¬ 
chi Deskstar 7K250- 250). De fabri- 
kant biedt de unit daamaast ook aan 
met schijven van 400 GB aan. Daar- 
mee ZQU een volledig uitgebouwd sys- 
teem een opslagcapaciteit van 42 TB 
t)p ongeveer een meter hoogic {22 U) 
kunnen realiscren. 

Je kuni hei systecm enkel configu- 
rercn met de meegelevcrdc manage- 
menLsoftware. Dcze is er voor Linux, 
Unix en Windows, Wcliswaar is cr in 
de eontroder ook een Webserver gcm- 
tegreerd, maar da^ir kun je alleen maar 
dingen lezen en niet wijzigen - afgc- 
zicn van de mogelijkheid het akocsii- 
sche alarm uit te schakelen. Niet dat 
we al te veel te CDnrigureren hadden, 
want een technicus van HDS instal- 
leerde de WMSHK) ter plekke. 

De FC-interface van het leslappa- 
raat vcRxincaakte we I een paar problc- 
men: met de standaardinstelling ^auto' 
stelde hij zich reprtidueccrbaar op 1 
Gbps in, terwijl er wei een 2 Gbps 
snelle HBA aangeskilen was. Wanneer 
we handniatig naar 2 (jbps schakelden 
en vervolgens weer terug, werktc de 
interface tot aan de volgende reboot 
met de hogcre snelhcid verder. 

Sequentieel leest de WMSIOO met 
144 MB van RAID 5 en 145 MB/s van 
RAID 6, SehTiJvend kwain hij via de I 
Gbps snelle Fibre Channel niet boven 
53 dan wel 47 MB/s nit. Dat hij met 
een snellere verbinding hogere waar- 
den zm halen is daarbij onwaarsehijn- 
lijk. 

Bij de resultalen van nfshench zie Je 
deze trend ook weer terug. Terwijl het 
Icestempo gemiddcld bij ongeveer 120 
MB/s ligt, varieert de snelheid van het 
schrijven voomamelijk tussen 30 en 50 
MB/s. Bij RAID 5 leidt uitval van een 
harde schijf tot een lemptxlaling naar 
ongeveer 110 MB/s. Een delccte 
RAID 6 Icvcrt nog circa 105 MB per 
seconde, Bij cen lopende rebuild op de 
achtergrond moet de host hei docn met 
zc/n80 MB/s. 


Harddiskopslag 



De clusfergeschikte 
FC-Filer FAS270c 
van Netapp is 
eveneens te 
scharen onder de 
enterprise-klasse. 
Deze ondersteunt 
naast RAID 4 
Netapps eigen 
RAID DP 
(afbeelding 6)« 


Netapp FAS270c 

Het buitenbeetje van deze test is de 
FAS270C van Network Appliance. 
Het combiapparaat kaii niet alleen 
overweg met Fibre Channel, maar 
ook met iSCSI en NAS-protokoHen 
(NFS, CIFS). Bovendien heeft hij als 
enige teslkandidaat FC-schijven. 
Omdat we de Filer toch al in ons iX- 
lab hadden en - veel belangrijker — 
Netapp sinds geruime Lijd zijn Near- 
stor- en Filer-producten met de eigen 
RAID-DP aanbiedl, mocht hij toch 
het RAlD-parcoui's afleggen. Een 
rcchtslreckse confrontatic zou daarbij 
niet ecrlijk zijn. De grote SATA- 
schijvcn van de anderc kandidaten 
kennen een hogere gegevcnsdichlheid 
ten opzichte van de relatief kleine 
schijven in de Filers. Hierdoor berei- 
ken deze automatisch hogere transler- 
snclhedcn - ten koste van de bescher- 
ming tegen uitval. 

De FAS270C is de clustervarianl 
van de FAS270. Hij heeft twee con¬ 
trollers met ieder 1 GB RAM en 12S 
MB NVRAM, twee aunsluitingen 
voor Gigabit-Ethernet en _ 
beide tnel cen 2 Gbps FC- 
poorl voor glasvezel en koper, 

Het 3U hoge apparaat kan met 
drie extra 'cabinets' naar totaal 
56 harde schijven worden uit- 
gebreid. De schijven biedt Ne¬ 
tapp onder eigen label aan met 
een capaciteit van 72, 144 of 
300 GB. In de testiinit zaten 14 
Seagates Cheetah 15K.3 FC, 
ieder 72 GB groot. 

In tcgenstelling tot de overige 
testkandidaten ondersteunt de Filer 
alleen het gestandaardiscerdc RAID- 
level 4 cn-Netapps eigen RAID DP, 
waarvan dc uitvalzekerheid overeen- 
komt met die van RAID 5 dan wel 6 
(zie kader Tariteits-bits Sl bytes ’). 

Configurcren kun je de controller 
van de FAS270c via dc scricle inter¬ 
lace, de geintegreerde Webserver als- 


mede middels Telnet- en SSH-verbin- 
dingen. Die laatste moet je als admi¬ 
nistrator echter eerst vrijgeven. 

Bij sequentieel lezen onder RAID- 
level 4 leven de FAS270c 74 MB/s 
aan de host, in omgekeerde rich ting 
sncllen de gegevens met 37 MB/s 
door de glasvezels. RAID DP ver- 
traagt de gegevensstroom lets naar 71 
dan wel 36 MB/s. 

De nfshench bchaalt circa 39 
MB/s, tijdeos het schrijven varieert 
de snelheid tussen 20 en 40 MB/s. Dc 
uitval van een schijf drukt het lees- 
lempo naar 29 MB/s, bij bet schrijven 
verlraagt de Filer dan naar 15 tot 20 
MB/s. Tijdcns het herstel valt de lees- 
snelheid naar zo'n 6 MB/s terug, het 
schrijftempo varieert dan tussen de H 
en 18 MB/s. 

RAID DP is bij het Ic/.cn (33 lot 
37 MB/s) en schrijven (15 tot 30 
MB/s) icts langzamer. In ons testlab 
ging het echter lets sneller te werk 
toon we moedwillig een schijf verwij- 
derden. De snelheid bleef gelijk aan 
een onbeschadigd RAID 4. Tijdens 
dc rebuild bleef hij met ongeveer 6,5 
MB/s zclfs nog iels sneller ten op¬ 
zichte van 

RAID 4. 

Areca ARC-1 230 
PCIe SATA RAID 

Areca biedt SATA-contrallers met 
PCI-X- en Kl-Express-interfaces aan 
(PCle). Maar de verschillcn tussen de 
mode Hen gaan nog wat 



Op de RAID-6-controller5 van 
Areco vind je 4 tof 24 SATA4I- 
poorten (afbeelding 7). 


venler. De K3-X-modellen uil de ARC- 
1100 serie gebruiken Intefs 10P33L 
CPU met geintegreerde RAID 6-vlt- 
sneller, terwijl in de PCle-varianien 
(ARC-12xx) nog dc oudere IOP332 
worden gebruikt. Deze worden onder- 
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De RAID 6-cotitrollers EX83xx 
voor PCIe en PCI-X von Promise 
Supertrok hebben leder acht 
SATA-ll-poorten (afbeelding 8). 


stcund dtx>r Areca's eigen RAID 6-chip. 
Als testmcxiel deed de ARC-1230 met 
twaalf SATA-II-ptxirtcn cn PCle (Hx) 
diensL 

Terwi jl de kleinere mode lien hel me I 
128 MB DDR-SDRAM nKX!tcn doen, 
beschikkcri dc control lers met 12, 16 of 
24 SATA-IT-ports over 256 MB DDR- 
SDRAM en kunnen deze Ust 1 GB uitge- 
breid wordcn; op dc Uiw-profile-model- 
Icn met vier respectievelijk acht poorlen 
was vermoedelijk niei gcnt>cg plaats 
voor een RAM-sockct. Alle modeilen 
hcbbcn echter imnsluitingen voor een 
back-upaccu, 

Cen eigen Fasl-Ethemet-poort voor 
het Out-of-Band-Management is ook al~ 
leen voorbehouden aan dc gnjicrc mo¬ 
deilen. Onder FreeBSD, Lintix en Win¬ 
dows (imVlimiXP) kun Je echter ook 
een speciale proxy instullcren, die In- 
Band-MtinagcmcnL met de browser mo- 
gclijk maakt en wk de low-profile-con- 
tn>llers ondersteunt. 

Op Areca-controllcrs kun je de schij- 
ven als RAID 0, 1,0+1,3,5 of 6 alsme- 
ilc als JBOD of NR AID coiingurcren, 
Bij de test hebben we vicr Maxtor (Dia¬ 
mond Max Plus 10, SATA II) en Hitachi 
(Deskstar 7K250, SATA I) uil onze test- 
pool gebniiki. 

De snclle PCI-Hxpress-aansIuiting 
goeft de ARC-1230 vieugels bij de cache 
operalies: lezen ga^it met maximaal 805 
MB/s, schrijven met maximaal 422 
MBAs, Van de harde schijf leest de 
Areca-controller sequenlieel tot 337 
MB/s, In RAID level 6 schrijft de host 
met circa 122 MB/s op de schijven, bij 
RAID 5 varieert het temper tussen de 111 
en de 144 MB/s. 

Nog steeds rond de 300 MB/s levert 
de controller tijdejis de nfsht'ndt. Maar 
het sterk wisselendc schrijflempo valt 
op: 40 lot 100 MB/s. Bij RAID 5 daali 
de leessnelhcid na de uitval van een 
schijf naar ongeveer 240 MB/s. Tijdens 
de rebuild pcndcit hi] rond 210 MB/s, 
met een paar uitschieters onder dc 200- 
grens. 


RAID level 6 heeft van de eerste nil- 
vallende schijf minder last: het lecs- 
tempo daalt naar plusminus 250 MB. 
Bij de tweede falende schijf daalt het 
echter naar 150 MB/s. Parallel daaraan 
zakt de gcmiddeldc schrijfsnelheid naar 
55 dan wel 25 MB/s. Tijdens de re¬ 
build klimt deze weer terug naar onge¬ 
veer 50 MB/s, Lcrwijl hel leestempo 
/Jeh dan tussen de 50 en 250 MB/s be- 
vindt. 

Promise Supertrok 
EX8300 

De low-profile-conlrollers Super- 
trak EX83(X) en BX8350 van Promise 
/ijn eveneens iiitgerust de RAID 6-ver- 
sneller van Intel. Hel PCHe-model 
EX8350 gebruikt de 10P333, in de 
BXH3tM) met PCl-X-interface vind je 
de IOP331. Beide controllers beschik- 
ken over acht SATAdl-poorten alsme- 
de 128 MB RAM en ondersteunen 
JBOD en de RAID levels 0, 1,0+1,5 
en 6. 

Hen EX 8300 bereikte de redactie 
nog op lijd. We hebben hem echter niet 
kunnen testen. Wcliswuar lieten de 
RAID-arrays zich zonder probleinen 
in rich ten en lieten de door dc fabrikant 
in broncode gcicvcrdc Linux drivers 
zich mticitchxjs op de teslserver imple- 
menteren, Vervolgens weigerde de 
testserver elkc samenwerking met de 
controller. Jammer genoeg hebben we 
daarbij de oorzaidc tot en met hci ter 
l^erse gaan van dit nummer niet kunnen 
achicrhalcn. 

Conclusie 

RAID 6 was lot enkele jaren geleden 
allcsbchalvc snel, maar tegenwoordig 
kan het dankzij de beschikbare hardwa- 
reversnellers absoluut bet tempo bijbe- 
ncn. Netapps RAID DP, dat met een 
cenvoudige XOR-engine gmoegen 
neenit, doet bei qua prcsialics ongeveer 
even goed als een standaard RAID 
level 4. 

Vaak geeft de hogere beschermings- 
graad tegen uitval loch de doors lag. 
V(H>ral de relatief goedkope, maar niet 
zo robuuste SATA-RAID’S voegen 
veel toe aan RAID level 6, Maar ook 
grotc arrays met SCSI- of FC-schijven 
profiteren duidelijk van RAID 6 of DP: 
hoe meer schijven cen array heeft, des 
te hoger is de waarschijnlijkheid dat er 
een iiitvalt. Wat meer redundantic is 
daarbij verslandig. Vooral als je die 


dun niet meer op een andere pick duur 
hoeft in te kopen, 

MICHAEL RIEPF 

Is IX hardware-redacieur. M 


Gegevens en prijzen 

Eurostor ES-66t 6F500: RAlD-sysleem; 3 U: 
een controller mef Intel IOP321 en ArecO' 
RAlD-6-chip, 512 MB RAM, 2 x 2 Gbit-FC 
Post Ethernet^ serieel; 16 SATA'Ifhorde ichif 
ven (Hitachi Deskstar 7K5D0'500), 500 GB; 
RAID 0, b 0+1, 3, 5, 6, JBOD; Leveroncier 
Eurostor; prijs: €10.490 (4 Gbit FC defoult] 
Axus Yofta YI46SAEU4N-R3: RAID systeerr; 3 
U; een controller met Intel IOP331 (667 
MHz|, 256 MB DOR-SDRAM; 2 x 113205051, 
Fos! Ethernet serieel; 16 SATA ll-hcrde schij¬ 
ven (Hitachi Deskstar 17X250- 250], 250 GB; 
RAIDO, 0+1,3,5,6,30, 50. TP (6+), 
JBOD, NRAID; Leveroncier: Maxcotfi; prijs: 
€5707,90 

Easyroid Q16+U4R3: RAID-sysSeem; 3 U; een 
controller met Intel IOP331 (667 MHz|j 256 
MB DDR-SDRAM, 2 x U320-SCSi, Post Ether¬ 
net, serieel; 16 SATA-II harde schijvfn 
(Seogote Barracuda ST3 500641 AS], 500 
GB; RAID 0, 1,0+1, 3, 5, 6, 30, 50, TP (6+], 
JBOD, NR AID; Leverander o.o. Truebif; prijs: 
€9111 

Inbrtrend Eonstor A16F^2422: RAID- 
systeem; 3 U; een controller rnet 600 MHz- 
PowerPC 750FX en aparte ASIC, 256 MB 
DDR SDRAM, 2 x 4-Gbit-FC, Post Ethernet, 2 x 
serieel; 16 SATA-ll-harde schijven [Seagate 
Barracuda ST3500641AS], 500 G6; RAID 0, 
!, 0+1, 3, 5, 6, 30, 50, 60JBOD; NR AID; 
Leveronder: Infotrend; prijs: €10.929 
Hitachi Tagmastore WMSIOO (DF700-RtaS|: 
RAID-sysleem; 4 U; twee controllers, ieder met 
500 MHz PowerPCCPU, 512 MB accugebul- 
ferd RAM, 2 x 2’Gbit-FC, Fast Ethernet, serieel; 
15 SATA-bHDs [Hitachi Deskstar 7K250-250), 
250 GB); RAID 1, 0+1,5, 6; leverancier: 
Hitochi Dato Systems; prijs: €28.543 
Netapp FAS270c: Filer; 3 U; twee controllers 
ieder met 1 GB RAM, 128 MB NVRAM, 2 x 
Gigobii Ethernei, 2 x 2-GbiTFC, serieel, Data 
Ontop 7g; 14 FC-HDs (Seagate Cheetah 
15K.3], 72 GB; RAID 4, DP; leveronder; 
Network Appliance; prijs: c.a. €22.515 

Areco ARC-1230 PCIe SATA RAID Controlltr: 
SATA-tl-R A10-controller, twaoll ports; Fost- 
Elhernef; PCI-Express-xS-interface; Intel 
iOP332 en Areca-RAID'6'chip; 256 MB DDR- 
SDRAM; RAIDO, 1,0+1, 3, 5, 6, JBOD, 
NRAID; leverancier: Areco; prijs: c.o. €900 
Promise Supertrok EX8300: SATA-1 l-RAID-con- 
troller; ocht ports; PCI-X inlerfoce; Intel 
IOP331; 128 MB RAM; RAIDO, 1,0+1, 5, 6, 
JBOD; Leverancier: Promise; prijs: €400 
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Studio 1 1 compiler en dualcore 
V40z-server van Sun 

Nog altijd Unix 

Ralph Hulsenbusch 

Kort na elkaar heeft Sun een aantal nieuwe producten 
uitgebracht. Een V20/40z-server met dualcore-processors 
van AMD, de Studio 11 compiler (die nu gratis is) en de 
eerste update van Solaris 10. 

Eens kijken hoe dot allemaal in elkaar steekt. 


V an alle nieuwe producten die 
Sun Microsystems vorig jaar 
lanceerde, verdient de Sun 
Studio Compiler versie 11 bljzondcrc 
aandachl. De ontwikkelomgeving 
was in eerste instantic vuor Sparc- en 
x86/x64-platformen onder Solaris 
bcschikbaar, maar sinds begin dtt jaar 
bestaat er ook een Linux-variant voor 
x64-compatibie machines, Hiermee is 
Sun de cersle aanbieder van eigen 
ontwikkelomgevingcn voor C/C-H-, 
Fortran en Java die ?.ijn product 


openbaar maakt. Degenen die Sun al 
in het begin van de jaren negentig 
volgden zullen verheugd zijn met 
de/x ontwikkeling, want destjjds 
schople het bedrijr veel ontwikke- 
laars, onderzoekers en siudenten 
legen de schenen door de compiler 
uit Solaris-votjrloper SunOS te halen 
en voor veel geld los te verkopen. 
Vanaf dat moment werd concurrent 
gcc erg p«>pulair* 

Maar er is meer nieuws van het 
Sun-front. Zo is de V-serie met dual¬ 


core-processors van AMD nu 
beschikhaar en is dc eerste update 
van Solaris 10 gemtroduceerd. Bo- 
vendien heeft Sun nu servers uitge- 
braclu op basis van dc onlangs geYii- 
troduceerde processor UltraSparc Tl. 

Alles gratis, maar dan 
wel voor iedereen 

Suns ommekeer naar open source 
verdient specialc aandacht. Alles is 
vrijgegeven - her besturingssysleetn 
(OpenSolaris), dc broncode vrijwel 
volledig en thans ook de onl- 
wikkelomgeving met zijn kroon- 
juwelcn, de compilers voor C/C++, 
Fortran en Java. Ontwikkelaar Jorg 
Schilling, die aan van de eerste 
OpenSolaris-dislributies genaamd 
Schillix werkl, nuanceert de openfieid 
ill deze context: ”Je moet niet verge- 
ten dat de open liceniles van Sun per 
persoon gcldcn en dat deze niet aan 
derden mogen worden doorgegeven, 
zoals bijvoorbccld bij de GPL wel 
mag/' Doors I agge vend daarbij is dat 
je voigens de regels van Suns CDDL- 
licenlie iedcre wijziging aan de bron¬ 
code van Open Solaris als 'putbacks* 
moet teruggeven aan de community. 
Andcrzijds mag de broncode gebruikt 
en geconihincerd voor eigen ontwik- 
kelingen. Op die manier kunnen 
oniwikkclaars eigen fragmenten als 
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'closed source' behouden en zo hun 
inteilectueel etgeiidom beschermen. 

Het gaat liier io elk geval niet om 
gelimiteerde trial-versies zoals die 
voorkomen bij veel andere grote aan- 
bieders. ledere rnaand zijn er nieuwe 
programmaversies bescbikbaar op 
sun.com binnen het Software Express- 
prograinma. Die software is le vcrde- 
len in dric raakviakken: 

- Solaris !0, de huidige release, sinds 
kort bescbikbaar als 1/06 (eerder 
'update r getioemd); 

- Solaris Express, de maandelijkse 
geteste snapshot van de ontwikke- 
laars van het OpenSolarisdaboratori- 
um; 

- de open omgeving van OpenSolaris 
zeb\ 

Deze onderwerpen worden door 
Sun voorzien van een enorme hoe- 
veclhcid documcntatic, prcscnlaties 
en weblogs van ontwikkelaars. Het 
zou menig marketing manager tot 
waanzin drijvcn, maar het project bgl 
dan ook op de breuklijn van "geeks’ 
en "marketroids’, waar geen geza- 
mcniijke strategic vt>ar lijkl tc 
bestaan. Daardoor liggen de kansen 
op een succesvoile doorontwikkeling 
cn hcl risico op cen fiasco dan ook 
dicht bij elkaar. 

Geiukkig kunnen degenen die 
Solaris-systcmcn inkopen zich nog 
altijd verlaten op Suns hoofdconcept, 
en zich coiicentreren op de geplande 
doelen voor dergelijke systemcn. Dit 
zou kunnen hetekenen dat je het 
robuuste Solaris 10 kiest voor een 
productieoingeviJig, maar dat jc voor 
onLwikkelaars de open route neemt 
met zijn maandelijkse updates. Dat 
laatste kan wel meer lijd kosten, cn 
hicr cn daar is het ook opletten gebla- 
zen. Voor de grote meerdeiheid van 
Siin-klanten die daar zowel hard- als 
software van gebruiken, kan de 
'What's new’-sectie op docs.sun.com 
veel huip bieden bij problemen, maar 
jc hebt er nauwclijks lets aan om 
bijvoorbeeld OpenSolaris te coiifigii- 
reren voor miiltimedia-loepassingen 
op niel'Sun-machincs. 

Overbekend platform 

Voor de V20 en V40 geldt een 
specifieke beperking; de hardware is 
alkomstig van Newisys (www.newi- 
sys.com), Deze servers bevatten 
AMD“processor$ en zijn in een jaar 
nauwclijks gcwijzigd. Onderhotids- 
vriendelijk is het wel, wanneer je uit 


JJ-TRACT 

• In het kader van zijn open-source- 
strategie stelt Sun zijn ontwikke- 
[omgevlng Sun Studio 1 1 koste- 
loos ler beschikking. 

• Noost de maandelijkse updates 
van de engineering-versie van 
Solaris Express gunt Sun ons 
een blik achter de schermen 
middels v/eblogs en de open- 
sourcegemeenschop. 

• Atleen speciale conflguroties 
profiteren van de nieuwe dual- 
core^echniek. 


de voeten kunt met dc vcntilatoreri en 
de kunststof behuizing. Deze meet je 
iiamelijk in zijn geheel verwijdercn 
om bij de epu's en geheugenslols op 
het bovenste moederbord te komen. 
Het onderste moederbord zit traditie- 
getrouw in de lade aan de ondcrzijde 
van het rack. Bij vier van de in totaal 
zeven PCI-slots is een voorziening 
voor hot swap getroffen, maar je kunt 
je vraagtekens zetten bij het nut 
ervan, Behai ve het geringe aan bod 
van geschikle kaarten daar voor is het 
ook nog maar dc vraag wie een ether- 
netkaart in vol bedrijf zou willen ver- 
wisselen. De slots zelf ondersleunen 
overigens PCEX (maximaal 133 
MHz, 64 bits). Het wisselen van 
harddisks, voor zover RAID aan 
slaat, of het vervangen van een van 
de redundante netwerkonderdelen 
zonder het apparaat uit te schakelcn, 
vcrloopt voorspoedig. 

Via her geintegreerde 'Lights Out 
Management' (LOM) kan de beheer- 
dcr op afstand dc huidige status van 
de server bekijken en de configuratie 
aanpassen, zelfs in uitgeschakeldc 
toestand. Dc bchccrdcr kan zo naar 
behoefte de server aan- en uitzetten, 
een BlOS-update uitvoereii en het be- 
sturingssyslcem opstarten of afslui- 
ten. 

Leren werketi met Solaris is anno 
2(X)6 niel al le moeilijk nicer. Er zit na¬ 
mely k zeer overzichtehjke beginners- 
documentatie bij, genaamd '80:20'. De 
officiele slogan luidl 'the 20% of Solaris 
knowledge that solves 80% of your 
needs', zie www.sun.coni/bigadniin/con- 
tent/solSysadmiiiGuide. Daamaast is dc 


initiele instalJatie niel moeilijk mccr. 
Allecn als je nameservices wilt aanbie- 
den kan bet exclusieve ’of DNS of NTS' 
echter voor probletnen zorgen in .som- 
mige omgevingen. Het ontbrekende deel 
zal op een later tijdsfip opnieuw geconfi- 
gureerd moeten worden. Nog discutabc- 
ler is dat Solaris standaard telnet toelaat, 
maar dat root-toegang via ssh van 
buiteii pas werkt als je dat in ietd 
defmiltsliogm explicict aanzet. Voor die- 
genen die regelmatig switchen tusseii 
besturingssystemen zorgen de oude 
Solaris-vcrsics van Unix-ttx)ls als tar of 
grep voor veel ergernis. De moderne 
GNU-varianten van deze tm)ls zijn 
geiukkig terug Ic vinden in lusti.^fvvibin, 

Helaas konden enkele markante 
features van Solaris 10 1/06 (zoals de 
officiclc .schrijfwijzc luidl van Solaris 
10 update 1) niet aan een nader 
onderzoek worden onderworpen. De 
V40z moest kort iia dc olTiciele 
lancering het testlab weer verlaten. 
Vandaar dat we geen tests konden 
uitvocren op iSCSLondcrstcuning, 
working van een virtueel usb-toetsen- 
borct of viituele usb-muis, 10Gbit- 
drivers, X.org-uitbrcidingcn en het 
geVntegreerde update- en patchma- 
nagement. Om nog maar te zwijgen 
over ondersleuning voor dc nieuwe 
T-serie met Niagara-epu. 

Dualcore op dezelfde 
basis 

Er biccf echter genoeg te testen over. 
We vergeleken Sun Studio 11 met ver- 
sie 10, Solaris Express 10/05 met 1/06 
en we keken naar dc dualcore-cpu van 
AMD onder Solaris, Dat moderne ser- 
verbesturingssystemen muilicorelecli- 
nicken mtx^ten ondcrstcunen staat buiten 
kijf, Bij Solaris gaat het dan om de 
Opteron-modellen van AMD, die Suti in 
april 2005 uitko(>s. Het cerste AMD-sys- 
teem van Sun kwam afgelopeii zomer 
de fabriek uit, De V40z is voorzien van 
twee dualcore-Opterons 875 van 2,2 
GHz met I MB L2-cache per core. Tn 
november kwam daar de vei sie met de 
lets snellere Opteron 880 (2,4 CjHz) hij. 
De eerste resultaten daarvan zijn door 
Sun bij de SPEC {www.spec.org) 
gepublieecrd. Wat de vcrdubbcling van 
dc cpu-cores op cen processorchip 
opleveit, moet nog biijken. In het con¬ 
cept vail AMD moeien bcidc cores 
namelijk cen system lequest queue, een 
cross-bar en een geheugencontroller 
delen. En hierbij kunnen opstoppingen 
onlslaan. 
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Solaris 


Solaris bicdL ccn grooi aantal tools 
om het cpu-gchruik Ic sturcn. Bchal- 
ve phimi, dat ervoor dient oni threads 
cn kindprocessen ic koppelcn aan 
bepaalde cpu's aan dc hand van hct 
proces-ID, zijn er de commando’s 
waarmce individuele cpu's aan- en 
uitgczct kunncn wordcn cn waarmee 
je ze met andere processors een pro- 
ccssorgroep kunt latcn vormen, Enke- 


SPECcpuaooo f 

5PECinr.base2000 beterp 


SPEClnt_rate_bose2000 (Quiid) 



5P£Cint_rate_bQ5e2000 (Octet) 


115 



SPECfp^bdse^OOO 


1710 



SPECfp^rale^ba 562000 (Octet) 



le experimenten en observaties met 
pr.Ktat, de Solaris-pendant van top, 
tonen aan dat applicaties die met 
psrset gekoppeld worden aan een 
proccssorsel geen andere cpu's 
gebruiken, Het resultaat is een vrij 
eenvoudig te beheren orageving, 
waarin je de prestatieverschillen kunt 
meten tussen het gebrutk van een 
core, een core per processor en beide 
in elke chip, 

Hel elementaire verschil tussen 
pbind en psrset zit hem letterlijk in 
de verbindiog. Alleen ontiieemt 
de processen de neiging te zwalken, 
wat een positieve uitwerking blijkt te 
hebben op de prestaties. Bij alledaags 
gebruik, waarbij Eal van applicaties 
op een server draaien, levert dit ech- 
ter niel allijd hel gewenste effect op, 
Gekoppelde processen kunncn andere 
in de weg staan of verdrongen wor¬ 
den door anderen met een hogere pri- 
oriteit, 

Bij de test maakten we gebruik van 
CPU2000 van SPEC, dat inmiddels 
aan versie 1 3 toe is, Hct vcrschii met 
2 J zjt hem in enkele patches en uit- 
breidingen die in de loop der tijd zijn 
vcrzameld. De resultaten hlijven ver¬ 
ge! ijkbaar, ook al nioeten de configii- 
ratiebestanden nog ecus onder de 
loep worden genomen. Zo verdwenen 
bijvoorbeeld de alternatieve source- 
directories die via aitsre- opgeno- 
men konden worden. 


HSclarif 10 1/06. Stucfio 11. 2.2 
GHi' 

HSLE5 9. PothScale. 2.2 
■ SIES 9. PothScale. 2.6 GHx^ 
■■Solans to HW1 Sludio 11. 2.2 GHx^ 
Solaris 10 HW1 Studio 11. 2.6 GHx^ 
HSolaris TO HW1 Studio 11. 2.2 GHz^ 
1 Solaris 10 HW1 Studio 11. 2.4 GHi^ 
■■Solaris 10. StiidiO 10. 2.2 GHz^ 

H Solaris 10. Studio 10. 2.4 GHz^ 

Compifer opties: cc -fasMcrosdile 
-^;^arch=□md64 -^-FDO ONESTEF=ye3; f90 
da5t-!^rpo^2 ^3(orch=amd64 
-3(prfifekh_fevel=3 +FDOOHESTEP=yes; 

FDO; Fsedbackoptimalisiolie 

^ V40i (te5fopstelling); 4 AMD Opteron 
875.2,2 QHz, Duo! Core, 2 X 1 MByle L2- 
Cache; 16 GB DDRI SDRAM; Solaris 10 
1/06; Sun Studio 1 1 

^ V40x! 1 AMD Opferon 852; 2,6 GHz, 

1 MB L2-Cach&; 32 GB DDRbSORAM; 

5L£S 9, PothScole 2.0 
^ V40i (Quad): 4 AMD Opieron 854; 
2,BGHz, 1 MB L2-Cache; 32 G6 DDRl- 
SDRAM; Soluui 10 HW 1, Sun Studio 1 1 
V40x (Octet): 4 AMD Opteron 860; 

2,4 GHz. Dual Core,2 X 1 MB L2'Cache; 

32 GB, DDR 1-SDRAM; Solorts 10 HW 1, Sun 
Studio 11 

^V40i; 4 AMD Opteron G50; 2,4 GHz, 

1 MB L2-Cache; 16 GB DDRl-SDRAM; 

Solaris Express 10/04, Sura Studio 10 


Wisselende 

rolverdeting 

De eerstc pogingen om met dc pro- 
cessortool psradm draaiende cores 
aan- of uit le schakelen en met pxrin- 
fo de huidige situalie ic bckijken, 
verliepen probleemlcKis. Met de optie 

kun je voorkomen dat de aan- 
gesproken epu interrupts behandeU, 
Voor het koppelen van speciaie 
processorsets dient het a I genoemde 
psrset. Mel mpstat krijg jc informalic 
over de volledige beiasiing, Een der- 
gelijk compleet arsenaal aan tools 
voor de conlrolc van multiproces- 
soren ontbreekt bij menig ander 
bes tu ri n g s sy s teem. 

IJitgangspunt was dc meesi aciucle 
configuratie voor compilers van ver^ 
sie 10 die door Sun bij de SPEC werd 
gcpublieecrd. De resultaten tonen aan 
dat de V40z onder Solaris bij appli¬ 
caties die slechts 66n processor 
gebruiken erg goed is uilgebalan- 
ceerd. Het wisselen tussen de proces¬ 


sorsets leverde geen noemenswaardi- 
ge verschillen op. Uit de analyse 
blijkt dat de meetwaarden zeer 
betrouwbaar zijn, Het koppelen aan 
cpu’s vergt een klein beetje vermogen 
terwijl 'slapende' cpu’s geen meetbarc 
invloed hebben, Daarnaast kan Sola¬ 
ris prima uit de voeteii met de proces- 
soriokalileit van de Optcron, die 
geheugenseginenten specifiek koppelt 
aan een epu (Non Uniform Memory 
Access, NUMA). 

Wezenlijk anders is dat bij het 
gebruik van nieerdere cores. Zodra 
benchmarks bcidc cores van dc pro¬ 
cessor zonder koppeling gebruiken, 
levert dat afwijkingen in de meetre- 
sultatcn op, Tijdens dc fixcd-poinl- 
test ISLmefynn CPU 2000 tluctueer- 
den de looptijden van een complete 
quad rond dc ciP procenl cn bij allc 
aebt cpu's rond de zeventien procent. 
De uitkomsten van de floating-point- 
tests waren zomogelijk nodig nog 
extremer. Tijdeiis SPECfp_rate_ 
base200U komt de meetafwijkiiig 
gcrcgeld uit hoven dc ticn-proccnl- 
Ujn, terwijl /72,mgnV/ een stijging tot 
31,8% laat zien. Daarmee wordt 
eigenlijk vooral aangetoond dal 
CPU2000 geen geschikte testmethode 
is voor dergeiijke systemen, Verge- 
lijkhare verschijnsclcn deden zich 
ook al voor bij andere architecturen. 

De hoofdoorzaak ligt bij de hoge 
opiimalisatiegraad van dc nieuwe 
compilers. Helaas laten de afwijkin- 
geii binnen een groepje van drie - 
icdcre Icsl doorloopl dc run rules 
driemaal achter elkaar - geen samen- 
hangend profiel achter. Nu eens wijkt 
een meelwaarde naar beneden af tcr- 
wijl de overige twee geiijk zijn, dan 
weer krijgen we drie totaal verschil- 
lendc meetwaarden. De alternatieve 
test met een run zonder optimalisatie 
leverde weliswaar magere resultaten 
op, maar be wees wel dal de onnauw- 
keurigheden verdwenen. De enige 
mogelijkheid om de processen met 
een huge opiimalisatiegraad in toom 
te houden h door gebruik te maken 
van pbind. Je voorkonit er geen 
alwijkingen rnee, maar deze liggen 
echter ver beneden de tien procent. 

Sun reageert op 
NUMA-effecten 

Biijkbaar heeft het probleem van 
de extreme tolerantie bij hoge opti- 
rnalisatie tot gevolg gehad dat Sun in 
OpenSolaris a I de Locality Groups 
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GEGEVENS EN PRIIZEN 

V40z: Solaris x-86 server 

Hardware; 4 x dt/alcore Opierons 875 
(2,2 GHz|, 64/64 kB LI', 1 MB L2'CQche 
per core; 16 GB OOR-ECCSDRAM 
|PC3200|; 2 x 73GS UW2-SCSI HD; 2 x 
10 Mbit ethernet, LOM (100 Mbit elfver- 
net),serille ||PMI 1.5]; VGA, USB, PS/2 
Softwore: Solaris Express 
[snv_23, 10/05), Solaris HWl, 

Soloris 10 1 /06 [update 1); 

Sun Studio 11 (C/C++, Fortron, Jovo) 
Fobrikanh Sun Microsystems 
(http://nf.syn.com/] 

Prijs: 22.000 euro (testopstelling] 


(Lgroups) heeft tngevoerd. Jo de 
Expresis-versie zh hiervoor eeii pro- 
gramjTiccrinterracc. Hcl gaat om ecn 
concept om Solaris betere prestaties 
te laten ieveren op architecturen met 
NUMA, waar Oplcron-syslcmcn dus 
onder vallen, door de scheduler voor 
lopende applicaties de betreffeiide 
processor aan te lalcn sLuren. l.group 
maak t dee I nit van de Solaris 
Memory Placement Optimization 
(MPO). 

Nog ccn veniieuwing in Solaris 
Express is smbios, waarmee gegevens 
uil hel BIOS op hcl schenn worden 
gctoond. Dit is een handig hu I pm id- 
del tijdens liet troubleshooten van een 
systeem, omdat hel niet allccn hard- 
warcgcgcvens toont maar ook zaken 
toont die je normaliter niet in een 
BIOS terugvindt of die dicp in hct 
systeem vers topi zitten. Denk hierbij 
aan .serienummers van kaarten of 
componenlen. Je moet wel locgang 
tot LOM hebben om er gebruik van te 
mogen maken. 

Er zijn nog geiioeg andere features 
van Solaris Express waaraan comple¬ 
te artikelen te wijden zijn, zoals con¬ 
tainers, ZFS eii drivers, Maar ook bij 
iiormaal gebruik kun je voor verras- 
singen komcn te staan. Na de upgrade 
naar Solaris 10 1/06 en hel simpele 
*overkopieren’ van Studio 1 I, .strui- 
keide de loader hij bet hercompileren 
van CPU2000 over de 32-bit libra^ 
ries, Als jc behalve PATH ook 
LD_UBRARY_PATH opgeeft (een 
oude gewoonte), doe je iets teveel 
van het goede, De compiler voIgt dan 
trouw de verkeerde weg. Het is 
atdoende om het eerste pad op te 
geven, de rest vindi Stadi<> zelL 


Een paar opmerkingen resteren 
nog aangaande de uirkomst van de 
benchmarks, die overigens allcmaal 
met de nieuwe compilers zijn 
geniaakt* Zo blijkt uit de lOzone-tesl 
dat de Hessenhals bij het lezen zich 
nu bij 32 MB bevindt. Het gedrag bij 
schrijven is anders: daar daalt de 
snelhcid stapsgcwijs naar I MB en 
vanaf 512 MB blijft deze steken op 
het niveau van de throughput van 
UW320-SCSI van 20 MB/s, 

Voor de vergelijking met CPU2000 
van SPEC putten we utt drie situaties: 
dc V40z onder Solaris K) en Studio 
10 die we in een eerder stadium test- 
ten, de nieuwe V40z met Solaris 10 
1/06 cn Studio 11 alsmcde de door 
Sun bij SPEC ingediende gege- 
vens over deze machine. Omwille 
van hct ovcr/icht zijn dc diagrammen 
vertaald naar een kloksiielheid van 
2,2 GHz (relatief) en worden de 
mcetrcsullaten als gcvolg van een 
hogere kloksiielheid in een apart 
gekleurd balkje weergegeven. 

Dc resullatcn van CPU2(KK) kun je 
op drie manieren bekijken: 

- meting van een processor (single), 
waarhij Sun gebruik maakl van Susc 
Linux in combinatie met PathScales 
compilers (SLES SP3). Onduidelijk 
is hoe Sun hcl voor elkaar heeft 
gekregen om de V40z met slechts 
een 852-processor aan de praal te 
krijgen. 

- test met vier simultaan werkende 
processen (quad), die telkens slechts 
66u core gebruiken, Hierbij kan het 
op het dualcore-systeem tot behoor- 
lijke afwijkingen in de looptijd lei- 
den indien de processen nicl met 
phind aan een epu gekoppeld zijn. 
Bovendien is er bij het gebruik van 
twee epu’s en vier cores slechts een 
gering verfies ten opzichte van het 
gebniik van telkens een core per pro- 
cessorsocket. 

- dc vergelijking tussen de beide ser¬ 
vers met vier dtialcore-cpu's (octet), 
die duidelijk aangeefl dat er tussen 
Solaris HWl en 1/06 geen perfor¬ 
mance verschi lien zijn. 


JX-BEOORDELING 

@ uilgebreide en tiandige broncode 

@ performanceloename 
door Studio 11 

@ open concept 


De door Sun aangelevcrdc rcsulta- 
ten zijn met dczelTde optics reprodu- 
ceerbaar. Hierbij speien de volgende 
parameters in afnemende mate van 
belangrijkhcid ccn nil: phind^ uUmit -s 
tmlhnited, een aanpassing van de ker¬ 
nel in /eic/syslem met auloup=900; 
tunc'_T^\flu\br^ I. Bij 'normaal ge¬ 
bruik' geldt dat de presmtieverliezen 
door het gebruik van dc dualcore- 
technick nicl onbclangrijk zijn. Twee 
cores betekent niet automatiscli twee- 
maal zo sneL Het verlies ligl tussen 
5% bij integer- cn maxi maal 20% bij 
floating-point-bereken ingen, 

De compilers voor C/C++ en For¬ 
tran in Studio 11 zijn om twee rede- 
nen inreressant, Ze zorgen voor 
snellere code dan die in vcrsic 10, Bij 
SPECint scheekdat 10%, bij SPECfp 
zelfs 22%, En ze zijn gratis, Ze bie- 
den daarmec een ccht alternatief voor 
gcc, die op zijn bcurt onderwerp van 
een test zou kunnen zijn. Helemaal 
wanneer Sun Studio 11 voor Linux 
gcrccd is, 

Conclusie 

Door hel heschikbaar stellcn van 
deze configuratio heeft Sun een ki jkje 
in de keuken gegeven van de ontwik- 
keling van Solaris voor x64-sysle- 
mcn. Met Solaris Express, de Studio 
11-compilers, de omvangrijke docu- 
mentatie en de weblogs die op de site 
van Sun te vinden zijn wordl dc steun 
aan het open source-idee nog eens 
ondersireept. Vrijwel geen enkele 
andere sysLeemb<)uwcr maakt gege- 
vens openbaar waaruit blijkt waar het 
bedrijf mee bezig is. De update naar 
Solaris 6/06 vcrschijnt overigens naar 
verwachting eind mei, 

De gratis beschikbaarheid van het 
besturingssysteem Solaris, inclusief 
broncode en compilers, en van de 
Studio-suite zou kunnen resulteren in 
een dringend noodzakelijke impuls 
voor het gnderwijs en onderzoekswe- 
zen. Daarnaast is er ook op een ande¬ 
re wijze sprake van openheid, door dc 
integratie van typisch Linux-achtige 
zaken in Solaris en de aangekondigde 
bruikbaarheid van de compiler in 
Studio I I voor andere besturingssys- 
tenien. Hierbij gaat het dan om de 
C/C++- en Forlrancompilers voor 
Linux en dc Java Enterprise- 
onigeving voor Linux en HP-UX, 
Voor waar een nadere beschouwing 
waardig. 


iX 3/2006 


49 





KNOWHOW 


Projectmanagement 


Maven 2: buildtool met nieuwe architectuur 



Bouwmeester 


Kenney Westerhof, 
Pieter-Paul Spiertz 


Goede software schrijven is vaak a! 
moeilijk genoeg. Ais ontwikkelaar 
wil je daarom zo min mogelijk tijd 
besteden aan het beheer van 
Makefiles of van automatische 
testframeworks. Voor dat eerste 
bestond bij Java-projecten al de 
buildtool Ant. De opvolger is het 
nog mooiere Maven, een 
rojectmanagementtool die de 
hele software-lifecycle 
bedient. 


S iceds nicer Java-pmjectcn gaan dc 
laatsle tijd voor hun buildproces 
over van Anl op Maven. Voor- 
bccldcn daarvan zijn Gcroninio, 
Cocoon, OpenEJB, ActiveMQ, Jetty en 
de meeste Apache-projecten. De reden 
daarvoor zit hem vcxiral in dc behcers- 
baarheid. Maven is ten eerste net zo'n 
goede buildtool ais Anl* Daaniaast 
onderslcunt het versicbeheersyslcTnen 
en distributies gedurende de hele 
levensloop ('lifecycle') van de softwaie, 
cn be vat het kwalilcitsbcwakendc plug’ 
ins zoals JUnit* Dankzij de Blosofie en 
werkwijze van Maven worden projecten 
unirorm gebouwd cn onderhouden, en 
wordt o.a. testing een standaard onder- 
deel van software engineering. 

Maven 2.0,4 is tc downloaden van 
maven*apacbe*org. Je hebt er minimaal 
JDK 1.4 voor nodig. Iloewel de down¬ 
load slechts 1 MB is worden er bij het 
gebruik nog componenten gedown- 
Joad* Vooral de eerste keer kaii dit wel 
even duren. 

Het Project Object Model 

Centraal in een softwareproject staat 
voor Maven de POM, bet Project 


Object Model. Dit is eon XML-file 
getiaamd pomjcml, die alle infonnatic 
IcverL over het project die Maven 
nodig heeft om het te kunnen bouwen, 
versies te behereii, releases te doen, 
rap]iorlen te genereren cn nog veel 
meer. Laten we eens een K)M genere¬ 
ren voor een nieuw project met Maven. 

mvn archetype:create ■Dgroupld=conn.myconnpa- 
ny.opp 'DQrtifadtd=my-opp 

Bovcnslaande aanroep roept Ma- 
vens opera- 

ties op projecten worden in Maven 
dtKir i)lugins geregeld. De archetype- 
plugin bevat een aantal templatc-pro- 
jecten en leveit zo voorbeelden voor 
een aantal soorlen projecten. In dit 
geval wordt er een simpel project 
gegenereerd in de my-app directory 
met een pom*xml bestand, een 
sre/main/java directory met cen appii- 
catie-bronbestand, en een sre/main/tesi 
directory met een unit-test bronbe- 
stand. De gegenereerde POM zicL emit 
zoals hiernaast: 

Natuuriijk kunnen POM-bestanden 
ook met de hand aangcmaaki worden; 
Maven zal ze nooit veraiideren. De 
model Version geeft aan dat het om een 
Maven 2 POM gaat. Blk project is 
nniek ideiilificeerbaar door de velden 
groupld (om projecten te groeperen). 


artifact Id (de iiaam van hel artifact dat 
dit project oplcvcn), cn version. Een 
'artifact' is Maven-jargon voor het 
bestand dat hcl bouweii van een pro¬ 
ject opleven. In dit geval is dat een 
JAR, zoals aangegeven door <packa- 
ging>jar</packaging>. De versie LO- 
SNAPSHOT geeft aan dat er toege- 
werkt wordt naar versie 1.0. Het 
SNAPSHOT-keyword heeft een speci- 
alc betekenis: bij een release wordt dil 
vervangen door een timestamp. Vc.K>r 
projecten die afhankelijk zijn van een 
SNAPSHOT-versie zal er standaard 
elke dag gekeken worden of er een 
nieuwere versie beschikbaar is. 

Verdcr wordt er nog cen naam en 
een URL opgegeven voor dit project, 


pem.icinf 

L V E rs 15 r)>^. D, e LVe r si u> 

<g r |}up Ilf. ly? n? - a pp< ruiiplif)- 

<artinctId>iy-ap|i<iarLli)ctI()> 
cpaEkagiugJjartipadtaginp 
<'#ers 1 <ni>1,0-S jlUPSKUt </ve rs 1 D'Ii> 

Ouftt llrcliEtr{^E</naie> 
<urUfattp:/f nav^n. apE:c}iE .inr^c/iirb 
<dfpir|{6ficm> 

<d«pEit(ieiicp 

<gri)ypId>i0Dil<igriHfpl(l> 

<arti liclId^iitiiK/arti fact:Id> 
<VErsi0n^3.IJ<iversion> 

<ydfpMdtii£;y> 

</depcivdeiidfs> 
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Fasen van de buildcycius 

vdsdste 

conrrde m het protect op cowocthefrf eo voiledrghfiid van informafro 

Mioke 

eventuelo initialfMties 

gmfGtmuses 

generefen m sources, bijvoorlie^ltl mms met Anflfi 

pfOWSS-SOUfCBS 

vorwerksn of bijv. ilamn van sooccfls 

gmewtsiesomes 

genereren vnn rasemrees, bijvoorbeairf EJB doscipters 


verwerken vnn resources en bpieren noai de build katie (targef/dassos) 

coinpih 

canipileren vern vosta (src/nratrt/tQVu) en gegenarserde sourcas 

pmcesHhis&s 

verwerking von cia door tie camprlattB gageFiareorda bestandan. bijv. bytecdekewerkiEigsri 

genefote-Test-iomes 

gfinereren vnn resMcurces 

pmesstGSt-mm 

vewerken vnn test-sources 

genefate-test-fcsoom 

genereren vnn eiftro tesf-rtrsources 

pm&sptsskesomes 

vamorken von feskBsourtfis 

test-comph 

rompfleren testrode 

to? 

unit-tests uitVMren 

pockage 

monk eert ortifacl [j«t, eor, war ek.) m do gacampileerde broircode en resources 

pfedntegfotmtest 

voorbereidingort voor infagraba-ieslsj bitvoerbedd rfaployen van een .war 

infsgfdtiofytsst 

voer intogrotie-tesis uit; bet nrtifoef is besdiikbocr 

post-intBgr(Piofhtsst 

evantueie aptuiming no dc integratre-test [biivootbedd hot undeployen van cen .war) 

vefify 

controleert pakket op kwnirleitscritorio {bijv. 'code enveroge' vun uniHesls) 

iftstoli 

insfdlearl baf nrNfact in de bkeile reposiroiv voor hergebruik dnor andere praiectert 

deploy 

rnstnlleert bat iirtifuct in een remote repository, zodot nndere ontwikbionrs of praiaeten 
ermoe kunnerr werken 


die gebruikt worden bi] het genereren 
van de website voor dit project, 

Hierna volgen de dependencies. Dit 
zijn alTiankelijkhcdcn op andere pro- 
Jecten, Ook bier worden weer de ver- 
plichte velden groupld, artifactld en 
version opgcgevcn. Dc geefi 

aan dat dit artifact alleen voor de unit 
tests gebmikt mag worden. 

Lifecycle als basis 

Apache Maven is, heel algenieen 
gezegd, een product voor de beschrij- 
ving en uitvoering van buildprocossen. 
In Ant moesfen gebruikers zelf bun 
buildproces ontwerpen door taken te 
groeperen in targets deze van clkaar 
afhankelijk te makeu. In Maven hoeft 
dat niet rneer. Ondanks dat er in de 
POM niels vergelijkbaars is Icrug Ic 
vinden, is 'mvn install' genoeg voor 
Maven oni te weten wat er moet 
gebeuren om de Jar te bouwem 

Oil kan onidat Maven ervan uitgaat 
dat er bij het bouwen van een project 
een bepaald aanlal fasen doorlopen 
wordL Dc label ’Fasen van de buildcy- 
clus' toQot de beschikbare fasen in wat 
we I de 'standaard lifecycle’ genoemd 
wordt. Dc fasen worden in volgorde 
afgelopen, tot en met de gesisecificeer- 
de fase. Bij 'mvn install' worden de 
fasen 'validate' tol cn met 'install' door- 
lopeii, 

Waar Ant tasks heeft {javac, copy^ 
jar)., heeft Maven goats om bcpaalde 
buildtaken nit te voeren. Een goal 
wordt gerealiseerd door een mojo, een 


verbastering van POJO (Plain Old Java 
Object). 

Mojos zijn gegroepeerd in plugins. 
Fen duidelijk verschil met Ant is dat 
Mavens mojo's vaak complexere taken 
uitvtx;rcn dan Ants taken. In Maven 
kun je deze mojo's aanroepen door ze 
als parameter in de vorm 'plugin:goar 
op te geven, zoals 'mvn archetype: 
create’. DaarnaasE kimnen plugins 
aan fasen nit de lifecycle gekoppeld 
worden. Standaard, bijvmirbeeld, is 
dc compiler^plugin gekoppeld aan dc 
compile- en test-compile-fasen, de 
Sure fire-plugin aan de test fase om unit 
tests nil te voeren en is de install- 
plugin gekoppeld aan dc install-fase. 
In het geval dat de packaging Jar' is, 
word! de 'jar’-plugin aan de package 
fase gekoppeld. Bij een packaging van 
'war', zal dil de 'war'-plugin zijn, etc. 

In legcnstciling tot de spaghetti in 
Ant-buildfiles is hier het buildproces 
duidelijk gedefinieerd. Het nadeel is 
dat jc een siukjc llcxibiliteit inlevert. 
Overigens raaakt Mavens plugiii-archi- 
tectuur veel goed: hierdoor is Maven 
ook bruikbaar voor .NET- cn native- 
program meertalen, 

Dependencies 

Dependencies gebruiken bee ft een 
aantal grote voordelen. Vaak worden 
jar-bestanden opgenoinen in source- 
repositories als CVS cn Subversion. 
Dat gebeurt meestal zonder versienum- 
mering, Maven wil af van dit principe, 
door projecten alleen te laten dcllni- 


eren wat ze nodig hebben. Maven 
zorgl cr vervolgens voor dat de beno- 
digde artifacts beschikbaar zijn, Aan 
de FOM kan Maven namelijk zien 
welkc versies van welke hestanden er 
gebruikt worden, Darikzij een belang- 
rijke nieuwe feature in Maven 2, 
mm.sitive depend^mey resolution., wor¬ 
den zelfs afliankelijkheden van aflian- 
kelijklieden autoniatisch opgehaald. Je 
hocfl dus nict langer te weten wat een 
bepaalde library die je gebruikt zeif 
nodig heeft, Ben nadeel is wel dat er 
mogelijk conllictcn lusscn versies kun- 
iien oiistaan. Stel je voor dat je project 
afhankelijk is van log4j versie 1.2.8, 
maar dal cen dependency versie 1 .2 .12 
gebruikt, Maven zal altijd maar 
^en versie van een artifact beschik¬ 
baar stelicn. Er zijn meerderc oplos- 
singsstrategieen geimplementeerd voor 
dependency-confl icten, waaronder 
'newest' en ’nearest'. Die laalste is de 
standaard.strategie: een dependency die 
'dichter' bij de POM staat die gebouwd 
word!, winL Helaas is de strategic nog 
nict instelhaar. 

Een ander knelpunt is het api/impl- 
probleein, dal vooral oplrcedt bij pro¬ 
jecten die XM[.-parsers gebruiken. De 
api is dan JAXP (Java API for XML 
Parsing), maar hiervoor zijn verschil- 
lende implcmentaties, zoals Xerces en 
Crimson, Wanneer een dependency nu 
afhankelijk is van Crimson, terwijl Je 
zclf Xerces gebruikt, treedt er een con¬ 
flict op. Het hangt maar net af van de 
volgorde waarin deze twee impletnen- 
tatics in het classpath komen, hijvtxir- 
beeld in een web-applicatie, welke er 
gebruikt gaat worden. Maven biedt 
hiervoor een (weinig elegante) oplos- 
sing: per dependency kun je opgeven 
welke transitieve afhankelijkheden er 
uitgclilLcrd moclen worden. Wanneer 
meerderc dependencies dergel ijke 
ongewenste libraries binnenhalen 
wordt hcl cchler al snel onbchccrsbaar. 
Gelukkig wordt er gewerki aan een 
algemene oplossing, w'aarin projecten 
ktiniicn worden gcclassinceerd als 
'api'- of 'impIcmentatie'-pToJeet, en 
waarbij kan worden opgegeven om 
welke API hei gaat. Hicrdmir zuHcn de 
oplossingsslratcgieen ook op dil snort 
conflicten toepasbaar worden. 

Zoals we zagen kun je aan depen¬ 
dencies t>ok een scope lockennen, om 
aan te geven wanneer ze gebruikt 
[nogen worden. Er beslaan momenteel 
vijf scopes. De default is co}npile^ V{)or 
compilatie en 'runtime', bijvoorbeeld 
de JAXP API. Wanneer bijvoorbeeld 
cen XML“parscr nict nodig is lijdens 
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cornpilatie, maar wel bij runtime is er 
dc scope runtime. Voor lest-compilatic 
en test-runtime is er test, Tijdens de 
Liitvoering van unit-tests zijn trouwens 
ook compile- cn runtime-dependencies 
bescliikbaar in bet classpath. Voor 
libraries als de servlet-API, waarvan de 
uiteindclijkc omgeving zclf een implc- 
mentatie verschaft, is er provided. Dit 
is eigenlijk 'compile-only'. Tenslotte is 
er dc scope optiomil^ die iiangceft dat 
all ecu bepaalde functional i Lei ten van 
een library deze dei>endencies nodig 
hebben. Het is dan aan de oniwikkelaar 
om te ontdekken we Ike hij nodig heeft, 
en hij zal ze ook zelf moeten opgeven. 

Repositories 

A Me artifacts staan hi ) elkaar in de 
locai repository, in de home-directory 
van dc gebruiker: $HOMB/.m2/reposi¬ 
tory/. Ben hepaald bestand hoeft dus 
maar eenmaal aanwezig te zijn, wat 
diskruimte spaart. 

Als een bestand niel in dc local 
repository te vinden is, ziil Maven deze 
downloaden van een remote reposito¬ 
ry. De standaard remote repository is 
de website www.ibiblio*org/maven2/. 
Hicrop /ijn uliccn o pen source-be s tan- 
den te vinden. Voor bedrijfseigen 
bestanden is het verstandig zelf een 
eigen repository t>p le zctlen binnen Je 
intranet. Een siinpele Webserver is 
daarvoor voldoende* Extra I'epositories 
kunnen i n $H()MEf mil set tings j:ml 
opgenomen worden, maar ook in de 
POM zelf. 

De lokale repository wordt ntcl 
alleen gebniikt als cache voor remote 
repositories, maar dient ook om eigen 
gcbouwde artifacts in op le si aan, 
zodat ze ook heschikhaar zijn voor 
andere projecten* Dat gebeurt ook in 
ons voorbecldprojecl. Het uitvoeren 
van 

mvn instoll 

in de my-app directory zorgt er voor 
dat de jar gebouwd wordt en gemstal- 
Iccrd in de lokale repository: $HOMO 
/.m2/repository/com/mycompany/ 
myapp/rny-app/1 *0-SNAP-SHOT/* 
Ook de POM is hier terug te vinden. 
Deze layout komt precies overeen met 
die van een remote repository. Een 
veeigestelde vraag is hoe je third-pony 
jars, zonder POM, kunt installeren. 
Maven biedt hlervoor de imtali:msiaU- 
file goal, die zelfs een POM voor je 
kan genereren. Installatie in een remote 
repository is net zo makkelijk: 


deploy:dephy-file. Met -D switches 
kun je groupld, artifactld, versie, 
packaging, cn dc repository locatic 
insteilen. 

Configuratle 

Dtx7rdat Maven slandaardconvcnLies 
heeft voor het bouwen van een project, 
kan de POM klein blijven. Dit priiicipe 
heel convention over configuration. Het 
zorgt er ook voor dat elk project op 
dezelfde manier werkt, waardoor nien- 
sen zich snel thuis kunnen voclcn. Het 
is niet meer nodig buildscripts te analy- 
seren om een simpele aanpassing te 
docn. 

Buiten de koppellng van standaard- 
plugins aan de lifecycle zijn ook de 
locaties van bestanden gestandaardi- 
seerd, Broncode van her project staat in 
sre/main/java, resources als property 
flics zijn tc vinden in src/main/rcsour- 
ces. Hetzelfde gelclt voor unit-test 
bestanden, welke te vinden zijn in 
sre/test/java cn src/lcst/rcsourccs. Als je 
je aan de standaard projcctstructuur 
houdt, blijft de POM overzichtelijk. 
Onderstaund vTOrbecld geeft aan hoc dc 
broncode en builddi rectory aangepasi 
kunnen worden en htje de compiler- 
plugin geconfigui'cerd kan worden om 
Java 5-syntax te gebmiken: 

De plugmMimagement-%^Q\!\i^ speci- 
ficieert standaardconfiguraties voor 


llsllng 1 1 penipXint 

<pluons> 

<pLj9iri> 

<SPti f 3ClId>iimn“C0ipi aciIitJ' 

</plugfns> 

c/plu'gifi'llandgeii^nt?' 

ret t«jr>srdisir/ javfl^VsQiPcdirenurp 
<d t rec l pry^bu \ I ;(< /di re e (a rr> 

</ppaj(ct> 


plug-ins. Alleen als de plugin gebniikt 
wordt zullen deze instcllingcn gebruikt 
worden. Wat opvult is dat alleen de 
artifact-id tag opgegeven is voor de 
compiler-plugin. In dal gcval wordt dc 
standaard grm</j/<i 'org.apache.maven. 
plugins' gebruikt en de laatste versie 
van de plugin. 

De Imild-sccXm be vat build.specifie- 
ke configuratie, Dit is de plants om 
extra resource-directories Le definicrcn 
en extra plugins aan het buildproces 


toe te voegen. Als voorbeeld zullen we 
de ^i/rjtrwrHplugin toevoegen om een 
taak uit te vocren waar geeti plugin 
voor is* Onderstaande moet toege- 
voegd worden aan de <biiild> sectie: 

Deze listing laal een aatital beJang- 
rijke features zien. Ten eerste kun je 


tigfiwg p0nn-3tiiil 

<plijginp 

<pLiigi[i> 

<ilep«[]itEiicies> 

^dcffPidincp 

<3 roupld>o pg. j a c orb</g r oupl i> 
oMifadldJidl^/iPtilaUliI? 

</d&p(ndcrcy^ 
dependfnties> 

ceiecQliDDs^ 

^aiecytie? 

<pli a sog er e ra t e- spa p c tt<f pha s e> 

<gpals> 

^goiUfup</5Bil> 

<^gp 3 ts> 

^ c put 1 prat i(ni> 

<s0pr cc Roo t>S {pf p) ec L ba n d. di r eel 0 ryJ /g E ne ra 

tei-SPUfcesistulis^npjpcelPPt> 

<mh> 

^taskdef eLassnaie=''0pg.iacprb.idl.JaElbr 

naae:“i8ciijr^ 

tildir dif^^npeojecLbailldiractepyligenepi 
<iaddL 

ipcLjdepath:"SlbasBiIip}isp£^iflifi^liIL/“ 

sftdif="S[basedif}n.rc/iaiii^i(!L/" 

)ndjdes=’'*.idl'' 

destdi p=''l{projpn .bdid.di Pect{ir)f}/geiieri 
t ed-spams ^st libs/'' 

</eoflfigiiPaHon> 

<i(xecyti!m> 

</plugir 5 > 


dependencies configurcren voor 
plugins, die besebikbaar gemaakl wor¬ 
den in het classpath van de plugin. 
Hierna volgt dc executions tag, waarin 
goals van de plugin gekoppeld worden 
aan fasen van dc lifccyclc. In dit gcval 
wordt de 'run' goal gekoppeld aan 
'gcncralc-sourccs'. Elke plugin heeft 
andere conilgiiratie-opties, die in dc 
<configiiration> tag opgegeven kun¬ 
nen worden. De antruii-plugin heeft er 
drie: source Root en testSourceRoot 
kunnen gebruikt worden om extra 
bronbestand directories op te geven, 
waarvan elk project er in principe maar 
een heeft* Plugins die extra bronbe- 
standen genereren registreren de loca- 
tie daarvan in het Maven Project- 
object, een runtime representatie van 
dc POM. De tasks configuratie komt 
overeen met een <targci> lag binnen 
een Ant-buildfile. Hierin kunnen wille- 
kcurige Aul-taken geplaatst worden* In 
dit geval definieren wc cen nieuwe 
taak die stubs kan genereren van IDL- 
bestanden; deze taak wordt geleverd 
door de dependency. 
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Dc antrun biedt hter uitstekende 
migratiemogelijkheden doordat be- 
staaiide buildfilcs gcbruikt kunrtcn 
wordcn. Natuurlijk is her niet de 
bedoeling volledig voorbij te gaan aan 
dc besiaandc plugins: als crccn plugtn 
beschikbaar is vtw een taak, kun je 
die beter gebmiken. Verder is het niet 
netjes om buildscripls op Lc ncmcti in 
dc POM* Beter is het om met 

<0T\[ on ifi Is-" build .xml" larget=“.." 

inheritAlh^trueV^ 

een losse buildfile aan le roepen. 

De ${exprcssies} wordcn dcK>r 
Maven afgevangen: ${basedir} geeft 
de directory van hei project, en expres- 
sies met ${project**.} geven tocgang 
lot dc POM. ${project.build.directory} 
geeft bijvoorbeeid dc waarde van 
<projectxbuild><direclory>, in ons 
geval 'build/’ (standaard is dit Wget'). 
Hierdoor kan configuralie hergebruikt 
worden* Overige expressies wordcn 
niet ingcvuld, /odat eigen-gedetinieer- 
de properties gebruikt kunnen worden. 

Overerving en modules 

Mavens lllosofic is dat elk project 
in principe slecbts een artifact ople- 
vert. Het is mogelijk meerdere arti¬ 
facts per project op le leveren, maar 
er ztjn maar weinig plugins die dit 
ondersteunen* Een goed voorbeeld is 
de ejb-plugin. Deze Icvcrt als hoofd- 
artifacl een jar met J2EE-beans en 
hun home/local/remole interfaces. 
Als tweedc artifact levcrt hij een jar 
met alleen de interfaces op, de 'ejb- 
client' Jar die gebruikt kan worden 
voor client applicatics* 

Voor dependencies die afwijkcn 
van de standaard packaging ^jar' inoel 
een <lype> lag tjpgcgcvcn worden in 
dc <dcpendcncy> tag. De twee typen 
artifacts van de ejb-plugin zijn 'ejb' 
en 'ejb-clienf. 

Door dc beperking op een artifact 
per project moeten projecten die 
meerdere artifacts tjplevcrcn opge- 
spiitst wordcn in subprojecten ofwel 
modules. Wanneer ^^n project meer¬ 
dere artifacts op mod leveren zegt 
Mavens niosofie dat de projecten niet 
goed opgesplitst zijn* Het ejb-voor¬ 
beeld is hierop geen uilzondcring: 
bier is hcl Iwccdc artifact een variant 
op het eerste, niet iets totaal anders, 

Opsplitsiiig levert Iwce problcmcn 
op: elk project mod apart gebouwd 
warden en ten tweede Is er het risico 
van dubbele configuralie* Omdat 


Maven deze filosofie afdwingt biedt 
het uileraard ook directe ondersteu- 
ning voor deze hierarchische indeling 
van projecten ^ wat deze probicem 
oplost. Ten cerste kun je een hele 
projeceboom met een commando boii- 
wen door een POM te definieren die 
een lijsl modules be vat. De packa¬ 
ging moet ^pom' zijn, wat aangeeft 
dat dit project alleen meta-informatic 
be vat cn gecn artifact oplevert. Bij 
cen build op zo'n POM zullen alle 
modules recursief gebouwd worden. 
Modules kunnen opgcgevcn worden 
in de <project> sectie: 

<moduleP 

<mod ule>sub-projeci-Q</m od u le> 

<m od u le>sub^proi ec*4></mod u le> 

</module«> 

Het tweede probleeni, dubbele 
configuratie, wordt opgelost door 
overerving. Een POM kan een parent- 
pom opgcven in de <project>-sectje 
en krijgt zo ook de configuratie die 
daiirin staat, cn die van cventuele 
voorouders. Om Java 5 te ondersteu- 
nen, lioef je bijvoorbeeid de coiripi- 
ter-plugin configuralie maar eenmaal 
op te geven. Verder kunnen via cen 
<dependencyManagement>-tag op 
^eii plaats alle versics van allc depen¬ 
dencies heheerd worden. Subprojec¬ 
ten hoeven dan alleen de groupld en 
artifactld op te nemen in hun depen¬ 
dencies, waardoor alle projecten 
dezelfde versies van de libraries zul¬ 
len gebruiken. Hen parcnt-deelaratic 
zicl cr zo nil: 

<poren»> 

<gro u pid >com. m ycompony, my op p</g roup ld> 

< 0 rJifa cl \ d >po renr pom</o rli fa cl I d> 

<yersion> L0</version> 

</porent> 

Bij een build kijkt Maven naar 
Jpomjcml voor de parent. Als die 
afwczig is, zal dc POM uil de reposi¬ 
tory gehaald worden. Hierdoor is het 
mogelijk losse subprojecten apart uit 
te cheeken en le builden, 

Profielen en settings 

Een beiangrijk idee achler Maven is 
dal elke build op exact dczeifde manier 
herhaald kan worden* Toch zijn er uit- 
zonderingen, bijvoorbeeid bij het bon- 
wen van een dislribulie of een ear-file 
of webapplieatie. Vaak bevatten deze 
configuraties die machine-afhankclijk 
zijn. Hiervtxir zijn zogenaamde profie- 
Icn in het leven geroepen* Deze kun je 


definieren in de settings de 

pomjcml of in het weinig gebmikte 
profiles jcml dat naast pom.xml 
geplaaist kan worden. De globale set- 
tings.xml bevat typisch gebruikersspe- 
cifieke insiellingcn, zcsals praxy-instcl- 
lingcn, cKtra repositories, maar ook 
instellingen voor databases kunnen 
hier opgegeven worden* Deze laatste 
staan typisch in een prafile-seciie. 
Profiles hebben een ul cn kunnen gc- 
activeerd worden met 'mvn -P id,id2,..', 
of diK>r cen <aetivePrortles>-sectie op 
te nemen in setitngs.xml. HierdtKir 
komcn dc prollelinstellingen heschik- 
baar tijdcns het buildproces. Ook kun¬ 
nen profielen aiitomaiisch geactiveerd 
wordcn, bijvoorbeeid aan de hand van 
het operating systeem: 

<proHie> 

<td>wirkdows</id> 

<activciH<m> 

<os>wjndows</os> 

</octivorion> 

<propeff3es> 

<co rifi 9 Fi !e>wi n d o ws. x ml </co nfi g Fi 
</properties> 

</proliie> 

Hier wordt de property 'eonfigPile^ 
ingcstcld als het huidige OS Windows 
is. Deze property kan wear sysieem- 
specifiek gebruikt worden in de POM. 

Migratie 

Zoals we gezien hebben biedt 
Maven dc anlrun-plugin, waarmec 
beslaande anl-scripts gebruikt kunnen 
worden binnen Maven. Daarnaast kun¬ 
nen plugins gebouwd worden op basis 
van deze scripts. De overgang van het 
oudere Maven 1 naar Maven 2 is niet 
pijnioos: alle zelfgemaakle scripts in 
Maven Ts .leily-taal zijn niet meer bru- 
ikbaar. Ook is het formaat van de 
POM dermate veranderd dat het enig 
werk zal kosten deze om te zetten. 
Gelukkig is er van bijna allc Maven I- 
plugins ook een versie voor Maven 2 
beschikbaar* Toch zal hei even wennen 
zijn om over te stappen, omdat je bij 
Maven 2 veel meer controle uil handen 
moet geven. 

Voor mensen die willen overstap- 
pen van Ant zal het heleniaal wennen 
zijn. Het groolste probicem dat zij 
tegenkomen is dat ze zich moeten aan- 
passen aan de structuur die Maven 2 
oplegt; met name de I -artifact-per-pro¬ 
ject regcl kan aardig wat impact heb¬ 
ben, Maven biedt echter een een losse 
library die de dependency- cn reposi- 
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liVMi Quick Stall Arch*tvi» 


Het CQminando 'mvn site^ genereert een 
volledige website met projectinformatie. 


0^ 


••riPiM If »M 


Muvcii kan ook een 
website genereren met 
daarop aiie infonnatie xiit 
de P(>M‘bestandqii, aange- 
vLild met rapporren zoals 
Javadoc, unit-test iiitkom- 
slen, €(fde covc'mgc'-veLppot- 
ten, 'copy paste’-detectie cn 
code-style analyse, Zelfs 
aan documentatic is gc- 
dachu waarv'oor verschil- 
I elide formaten gebruikt 
kunnen wurdcn: APT 
(Almost Plain Text), XDoc 
en HTML. Docbook-oiider- 
slctining is in de maak. De 
layout van de site kan 
geheel aangepasl worden . 


tory-features beschikbaar maakt voor 
Ant. Hiermcc kun je in build,xmt 
files zelf dependencies dcclareren, 
maar kunnen ze ook uir pom.xmi 
bcsianden gclezen wordeti, Hierdoor 
is het niet nodig bet buildproees aan 
le passen, en kan er geleidelijk over- 
gcsiapt warden naar Maven doordat 
beide systemen naast elkaar kunnen 
draaien. 

IDE-integratie 

OndersLcuning voor IDE’s is er in 
twee smaken. Ten cerste /ijn er plug¬ 
ins voor Maven die projeetbestanden 
vextr Eclipse en InlcUiJ IDEA genere¬ 
ren, Door deze enigszins halve inlcgra- 
tie moeten de projeetbestanden elke 
keer opnieuw gegenereerd worden als 
de POM aangepast wordt. Ook pntject- 
builds mocten dan via de conitnandline 
gcslarl worden, of dtxsr exteme taken 
die Maven’s shell scripts aanroepen. 
Een betere iiitegratie bieden plugins 
die binnen de IDE's draaien. Momen- 
teel zijn deze er alleeti vmir Eclipse en 
NetBeans, maar ze zijn nog van beta- 
kwalileit. 

Releases 

Zeals vciteld ondersteunt Maven 
versicbchcersystemcn. In de POM 
moet dan een <scni>-cnlry slaan: 
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<SC(T1> 

<connecHon>sctn | svn | svn:// svnhost/ repos ilory/fru 
nk/</coi>nection> 

</scm> 

Er is volledige ondersieuning voor 
Subversion, CVS, Perforce en Star- 
Team en gedeeltelijke ondersteuning 
voor ClearCase en Visual Source¬ 
Safe. Daarmce wordt hci maken van 
een release een citje. Mel mvn 
re lease .prepare wordt een release 
voorbereid, door de verstes in de 
POM tc ontdocn van de SNAPSHOT- 
tag en deze versie vervolgens te tag- 
gen. Mel release .perform wordt er 
een nieuwe checkout gedaan van de 
getagde versie, worden de projecten 
gebouwd en vervolgens gedeployd op 
de re mote-re post lory die gede finieerd 
staat in een <distributionManage- 
ment> scctie in de POM. Ilierna wor¬ 
den de POM-bestanden bijgewerkt 
voorde voigende versie, 

Ook hei maken van dislribufies 
wordt cenvoudig, waarbij een assem¬ 
bly (iescrlp!or aangeeft hoe resources 
cn artifacts georganiseerd moeten 
worden in een archieITDesland, zoals 
een zip of tar, of (met behulp van 
plugins) Java of Windows-installers, 

Conclusie 

Met Maven 2 is een volledig 
nieow platform beschikbaar om pro¬ 


jecten te bouwen cn ic managen. 
DankziJ Maven zien builds er bijna 
allcmaal hctzetfdc uit, en kun je de 
technische compilatie-aspecten daar- 
achter uil handen geven. Maven hoeft 
alleen te weten wal waar staat (als je 
een niei-standaard l(x:atie gebruikt), 
wal er gebouwd moet worden (jar, 
war, ear...) en of er nog specificke 
zaken mocten worden ingesteld aan 
plugins die aulonialisch uitgevoerd 
gaan worden (compile, resources, 
test, package). Ook kunnen er nieuwe 
buiidslappen worden ingesteld om 
bijvoorbceld extra resources of sour¬ 
ce code te genereren. 

Voor wie dieper in Maven 2 wil dui- 
ken: in april komt er een (gratis down¬ 
load baa r) boek [3] uil waar zaken aan 
bod komeii als het bouwen van J2EB- 
applicalies, plugin-ontwikkeling, kwali- 
teitsbewaking van projecten, werken in 
teamverband en een uitgebreide hand- 
Ictding om te rnigR'ren van Ant. 

KENNEY WESTERHOF 

IS Jovo-speciolisl en Project 
Management Committee-lid von het 
Apache Maven project. 
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( I I Maven site hitp://mavcfi.apache.org 
(2J Mojo site http://mojo.codchaus.org, 
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[3] Maven 2 Book (verwacht april 2006) 
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“ Voor iederee-n met isdn-apparatijur oFeen 
fsdn-aan jEuiling dte m^t voip aan de stag wiL 
ts deze 7050 een absolute aaorader!" OJ /06 


FRITZ [&OK Fon leveil een 
iultstekende, leifs belene audiohwaliteil 
dan een tradition ele telefocm” 05/05 


'Op bet gebied van de WLAN'basisbev^iligmg 
laal AViM aao aite andere apparaten zren. 
hoe het moel: de W£P verskuteljog was bij 
afleverirvg geactiveerd/ 02/05 


FRlTZIBox Fon -cte voordelen 
in een notendop 


26-28 aprii 2006 

Ffal 11, Stand 11.101 


• Voice-over-fP-telefooncertrale met een 
Sfl-bus en drie analoge aansiuilingen 

• Internettelefoniezondef pc 

• Krachtige, moderne ADSL-modem/router 
(voorbereid op ADSL 2 -f) 

• Bandbreedtebeheer-teiefoneren ensurfen 
via ADSL met optima Le kwaliteit 

• Bereikbaar onder huidig telefoonnummer 
(ISDN of analoog vast net) 

• Gelntegreerde firev\/all met poortvrijgave 

voor veilig sy rfen op internet ^ 

• AanstiiitingvoorpcviaLAN- 

ert USB-poorten ff S ^ 

• WLAN-versleuteling met Si ^ 

WPA,WPA2en WEP f > 'Si M 


VoIP is zilver, FRITZ! is goud 


tnternettelefonie nu 00k met ISDN-apparatuur 


Met FRITZ!Box Fon WLAN wordttelefoneren via het 
internet net zo gemakkelijk als het zoo moeten zijn. 

Gewoon uwtelefoon opde FRITZ!Box Fon aansluiten, 

de hoorn opnemen, nummerdraaien, klaar. Met voice 

over IP (VoiPl kon u al via het internet telefoneren, zonder uw pc in te schakelen. 

Met FRITZ! Box Fon blijft u bovendien op uw huidige telefoonnummer bereikbaar. 

Zo wordt VoIP nietalleen supereenvoudig, maarook spotgoedkoop; en dat bij de 

beste spraakkwaiiteit. 

Ook voor alle andere ADSL-toepassingen is FRITZ!Box Fon WLAN optimaal 
uitgerust. De slimme combinatie van ADSL-modem, router, voice-over-1P-telefonie 
en wireless LAN maakt bijna attes mogelifk: snel surfen en mailen met 
een of meerdere pc's, maarevengoed internet- en vaste telefonie met alte 
soorten telefoons. Want voortaan kunt u niet alleen met analoge tetefoons, 
maarook met ISDN-apparatuur alle voordelen van Internettelefonie 
benutten. 

Profiteer van de nieuwe mogelijkheden van uw AOS L-aa ns lulling. Vraag 
|j|jji bij uw internetproviderof in een goede speciaalzaak naar voice over IP 
en FRITZ! Box Fon. Of surf voor meerinformatie naarwww.avm.de/fritzdsl. 
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Ontwikkelen in Java 



Een vergelijking van vrije 
en commerciele Java-IDE's 


Koffiebranderij 

Bernhard Steppan 

De gratis ontwikkelomgevingen Eclipse, JDeveloper en 
NetBeans hebben de Java-markt stevig wakkergeschud. 
Drie vertegenwoordigers uit de commerciele hoek mogen 
laten zien of ze de concurrentie uit het open-source komp 
nog de baas zijn. 


J avil ontleent zijn popularileil ah 
program meertaal in belangrijke 
male aan het gnyte aantal hoog- 
waardige* geVntegreerde ontwikkelom- 
gcvingcn (IDE). Sinds open-sourcc 
projecien als tklipNC met commerciele 
tools concurreren, geldt dat jc nog 
nooit zo veel performance kreeg voor 
zo weinig geld. Aan de hand van enke- 
le stand aard pro] ectty pen beantwot>rdcn 
we dc vraag of de kosteloze vertegen- 
woordigers van het gilde de dure pro- 
ducten werkelijk kunnen bi jbenen (zie 
kader "lestcriteria in het korf'). De 
tegen elkaar aantrcdcndc kandidaten 
zijn Eclipse, NetBeans, JDeveloper, 
InLclliJ Idea, Rational Application 
Developer en JBuilder. Een uitvoerige 
tabel met al!e features van de softwarc- 


pakkctlen en informatie over het 
beoordelingsscherna kun Je vinden in 
het bestand — iiie-vergc4ijkingzip - op 
WWW jx-magazine.nl. 

Eclipse 

De Java-on twikkelonigcving van 
het open-source-platform Eclipse 
draagt inmiddels versienumnier 3.1.1. 
We hebben de IDE geinstallcerd met 
ZQwel de uitbreidingen van het Web 
T(H)1s Platform (WTP 1.0 RC5) als het 
Visual Editor Project (VEP) en ook in 
die configuratie getest. Ondanks de 
duidelijk bctcre prestaiies vergeleken 
met de kale IDE, blijft dc bchoefte aan 
werkgeheugen met een kleine 256 MB 


toch aangenaam binnen de perken, 

De IDE loopt op de conenrrenlie uit 
door de good configureerbare interface 
op SWT/JFace-basis (zie kader 'GUI- 
bibliotheken: Swing of SWT/Jbace'), 
cen andcr build- en projectmanage- 
menl alsmede het sterke platform- 
karakter (frameworks, plug-in-concept, 
etcetera). Eclipse bestaat uit een kleine 
kem,die - al naar gelang de configura¬ 
tie - door plug-ins wordt omgeven. Zo 
radicaal als Eclipse in verschillende 
bestanddelen tc onlleden is, is bij geen 
enkele andere tool mogelijk. 

Maar zclfs de hasisuitrusting van de 
IDE is zeer uilgcbreid. De interface 
bestaat na het starten in wezen uit bet 
pn>jcclbehcer, ecri venster dat de struc- 
tuur van een be stand weergeeft, even- 
als een editorweergave en een console 
waatin dc foutmeldingeii en andere 
output te zien is. Dc workbench is 
sinds release 3,1 volledig compalibel 
met Java 5. Onder de interface sehni- 
len een nauwkeurig werkende parser, 
een krachtig build-management met 
een eigen compiler en een grafische 
debugger. 

Die laatste ondersteunt zowel hoi- 
swap- als remote-debugging en verdcr 
alle gangbaie functics zoals conditional 
breakpoints en evaluatie en monitoring 
van expressies. Chisses die de 
ontwikkelaar tijdcn.s het debuggen 
wijzigt, kunnen onmiddellijk opnicuw 
gcladen worden. Daarbij positioncert de 
debugger de cursor automatisch weer 
aan het begin van de te onderzoeken 
code. Dat is vooral handig bij het ont¬ 
wikkelen van grotere clients en servers, 
die een langere opslarttijd hebben. 

De refactori ngfunettes dewrstaan 
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• Kosteloze Java-ontwikkeK 
omgeviogen zeals Neh 
Beards Eclipse hebben 
de marlcl op zijn kop gezet. 
Voor weinig geld toch veel 
prestofies, 

• De operr-seufce IDE^s zijn in 
bijna olle opzicbfen tegen 
hun commerciele fegen- 
hongers opgewassen. 

• In de test woren bij Eclipse 
nauwelijks zwokke plekken 
te constaferen. Eclipse (eidt 
momenteel dus de dons om 
de Java^ontwikkelorngevin- 
gen. 


iedert: vergelijking glansrijk* Hiemicc 
is het bijvoorbeeld m(jgclijk om 
bestanden in dc bcstandenlifst van de 
project-wcergave te verplaatsen, waar- 
biJ de workbench allc vcrwijzingen 
bijwerkt. Dankzij de Eclipse-subpro- 
jecten WTP en VEP is de IDE nog 
veel beter voor client-, database-, web- 
en enterprise-ontwikkcMng uitgenisi 
dan zijn vtxjrganger 3,0. 

Het testparcours vollooidc Eclipse 
ook zondergrote problemen. Alleen bij 
hcl onlwikkelen van Swing-GUI's en 
webtoepassingen wisten wc bij de t(K)l 
een paar zwakke pun ten blmit te leg- 
gen. Zo is dc Visual Editor inderdaad 
een two-way GUT-buildcr (zic kader 


'Gebruikle methodc: GUI-builders*), 
die je cenvoudig knnt configureren en 
die bet nitvoeren van taken zuwei in de 
teksteditor als in de grafische ontwerp- 
modus mogeitjk maakt. De editor knn 
je 7.ien als een refereniie-implementatic 
van een Eclipse GUI-builder. Maar 
vergcicken met commerciele producten 
is bij te langzaam, de WYSIWYG- 
weergave is bij hot ontwerpen van 
Swing-intertaces en bij het jxisitione- 
ren van widgets gewoon te onislachtig. 
Bovendien verbruikl hi] le veel resour¬ 
ces. 

Ook bij het ontwikkelen van web- 
applicaties vertoont Eclipse grote 
galen, bijvoorbeeld bij het vervaar- 
digen van toepassingen met Struts of 
Java Server Faces. Op deze twee na 
kon Eclipse aan de nieeste vereisten 
prima voldoen. Btj bet importeren van 
het testproject met opzeltclijke fouten 
toonde dc nieuwe versie zich van zijn 
sterkste kant. Van alle testkandidalen 
was Eclipse het sneJst in staal om fou¬ 
ten en dodc code al bij het impoiteren 
op te sporen en overzichtelijk in een 
lijst weer te geven. Wie dc contlgura- 
tiemogelijkhcdcn van Ellipse op prijs 
slcli, krijgt een ontwikkelomgeving die 
met recht als een van dc krachtigste in 
zijn soon gcldt- 

lifi IntelliJ Idea 

De Java-ontwikkeloingcving IntelliJ 
Idea van bet "Isjcchische softwarehuis 
JciBrains is in ons land reiatief onbe- 
kend, maar kan intemalionaal op veel 





InfelliJ biedt uitstekende functies voor het analyseren von code [afbeelding 1). 


aanhangers rekenen. Het is de voor- 
dcligste van de commerciele IDE’s uiL 
deze test en verbruikt (>ok dc minsie 
resources. Na het installeren van versie 
5.0.2 neemt de IDE incliisicf JDK 
ongeveer 157 MB in bcsiag. Hch je al 
een goede Java Development Kit 
geinslalleerd, dan heeft IntelliJ Idea 
ongeveer IQO MB nodig. 

IntelliJ behoort met JBiiilder, 
JDeveloper en NetBeans tot de IDE's 
met een Swing-interface. Na he I star- 
ten presenteert bet programma zich 
met een ()ngcwone layout. Behaive bet 
projeetbeheer en de editor vindt je 
hieriii horizonlaal gerangsehikte tabs, 
waarmec dc ontwikkehiar afzonder- 
lijke weergaven kan in- en uitscha- 
kelen - een ongebruikclijke maar 
praktischc methode. 

Het projeetbeheer stell dc ontwik- 
keiaar in staat om aan mccrdcre pro- 
jecten Legclijk te werken. Hiervoor 
wordt steeds een nieuwe instantie van 
het hoofdvenster gestart. Tussen de 
projeclcn kun je dus srmpel via het 
laakbcheer van het besturingssysteern 
wisselen. Projecten slaal IntelliJ recht- 
streeks op dc harde schijf op (net als 
allc andere testkiindidaten). Als Jc 
afwisselend ook met andere tools wilt 
werken, word jc daarin niet door een 
rcpt>silory belemmerd. De projeclcon- 
figuratie word! door de IDE net als bij 
J Builder en J Developer in een project- 
be stand opgeslagen. 

Het product is goed uilgerust en 
voor veel doclcinden geschikt. Voor 
werken in teamverband biedt het 
bijvoorbeeld SCM-conneclors met 
gangbare syslemen als CVS, Subver¬ 
sion cn SourceSafe, maar ook voor 
minder bekende oplossingen als Per¬ 
force of StarTeam. Dc GUI-builder 
ondcrsicunt AWT en Swing-widgets 
en -layouts en bewaart deze in form- 
bestanden of direct in bytectxle . 

IntelliJ Idea overtuigde in vee! 
disciplines. Bij het onlwikkelen van 
clients met een Swing-inlerface wordt 
je dotir dc IDE ondersteund met een 
uitstekende GUI-builder, die alleen ten 
opzichte van NetBeans ickorischoot. 
Ook bij webdevelopment blonk de 
workbench uit, terwijl het pakkcl bij 
database- en entcrprisc-ontwikkeling 
wat stcckjcs lict vallen. 

Voor het ontwikkelen van JDBC- 
databases zijn een SQL-console, een 
query-builder en een JDBC-monitor 
erg nuttig, maar volgens de fabrikant 
meet je die achteraf via plug-ins instal¬ 
leren. Dal zou o(>k gelden voor de 
koppcling met een application server. 
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Tot nog toe levert het bedrijf siechts 
ccn connector voor Bea Webtogic 
mee, De goedc tomalindmk die de 
geVnsialleerde versic 5,0,1 achterlict, 
wcrd enigszins leniet gedaan door 
meerdere fatal errors tijdens het wer- 
ken aan een project met 2(K)0 cla*sses. 
Deze fouten verdwenen pas nadat we 
een update naar versie 5.0.2 haddeti 
uitgevoerd. Bij het I a aisle tcslprqjecl 
presenicerde de IDE zich weer van zijn 
beste kant cn werdcn veel fouten en 
dode code opgespoord. De resoltateii 
van de analyse worden helaas niet zo 
overzichtelijk wecrgegeven als Eclipse 
dat doel bij hel imporlercn. Na de eer- 
slc build van het project werden echler 
duidelijke mcldirigen en voorstellen tot 
verbetering van de ctxle gegeven. 

JBuilder 2006 

Deze klassieker van Borland gaat 
inmiddels de twaalfde ronde in en heet 
nu JBuilder 2006- Voor de test werd de 
krachtigstc versic, de Enterprise Edi¬ 
tion, gebruikt, Dczc licert met 650 MB 
hcl op twee na grootste installalic- 
pakkct. In tegenstelling tot de vorige 
versie is JBuikier nict mcer voor Mac 
OS X verkrijgbaar - mogelijk is hel 
zclfs de laatste versie van het product. 
Op de vraag of de JBuilder-variant, die 
under de werktitel Peloton bekend 
staat en op Eclipse wordt gebaseerd, 
het overneemt van JBuilder of dat 
Borland zoals aangekondigd inderdaad 
met twee product!ijnen verder gaat, is 
moinentee! nog geen zitinig antwoord 
mogelijk. 

In essenlie stamt het JBuilder- 

Testcriteria 

Om de IDE's beier met elkaar te kunnen 
verge)ijken, worden de icstkandidaien 
zonder exteme uithreidingen met ver¬ 
se hit Icnde lypisehe projectea geconfron- 
teerd. Ze moeicn aan dc eisen van de 
meeste oniwikkelaars voldocn: client-, 
database-, web- en enterprise-deveiop- 
ment en zoeken naar fouten. 

Standaardprojccten met een grafische 
interface moeten aan lone n hoc geschikt 
een ttKil is voor heL tnaken- vaa tue- 
passingen zonder serverkoppeling en 
ciientsoftware. Aan dc hand van ver- 
schilIcnde databaseprojecten met JDBC- 
koppcling wordt getest of de tool dc 
bijbehorendc programma's voldt^nde 
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concept uit de begtnjaren van Java cn 
hceft hcl meerdere revisies ondergaan, 
die de tool van een h(K>fdzakelijk in 
Pascal geschreven workbench lot een 
van dc cerste pure Java-IDE*s deed uit- 
groeien. Je kunt JBuilder tiiel duidelijk 
tot een bepaalde parltj rekenen 
(Eclipse, NetBeans). Want enerzJjds 
beschikt JBuilder over een Swing- 
interface zoals IntelliJ, JDeve!oper en 
NelBeans, maar anderzijds bouwt hel 
programma net als Eclipse primair een 
eigen build-systeem op. 

De interface is relatief strak en 
siechts bepcrkl le cunfigureren. Net als 
bij bijna alle Java-1 DR's bestaat hij 
voornanielijk uit een project-tree, 
structuurweergave, editorvenster en 
console. Je kunt de tool via een plugin- 
AFI uitbreiden, maar er zi jn bij lange 
na niet zovcel hoogwaardige com- 
poiienten verkrijgbaar als bij Eclipse. 

JBuilder is veiledig compatibel met 
Java 5, hoewel de interne compiler 
zich niet voor honderd procent con¬ 
form de JDK-compilers gedraagt. Als 
Je daar waarde aan hccht, kuii Je via de 
projectinstellingen een JDK-compiler 
sclccteren. Net als alle testdeclnemers 
ondersteunl JBuilder hel werken met 
verschillende JDK^s, waarbij een JDK- 
spccifieke pai-ser wordt ingeschakeld. 

Wat uitrusling betrefl doet de 
Enterprise Edition vut>r nieinand 
onder. Overigens wisselt de kwaliteit 
van dc onderdclen sterk. Zo bleek de 
databasebrowser in dc praktijk bij voor- 
beeld niet zo goed om le kunnen gaan 
met gn>te databases. Daarvoor is hiJ 
veel te traag en omslachlig le bedie- 
nen. De SQL-console geeft de syniaxis 
nicl gckleurd weer en is schaars met 

in het kort 

ondcnitcunt. Een webproject met een 
interface op JSP/JSF-basis moei de func- 
lies voor webdevelopment testen. 

Om de capacitcitcn voor enicrprise- 
deve 10 pmei:i i vast te stel len, worden 
meerdere COR BA- en ElB-projecten ter 
beschikking gesicld. De des^beirelTende 
IDE moet die projecten imporlercn. ver- 
dclcn cn uitvoeren, De afsluiiing van de 
test bestaat uit een project dat een Java- 
kK:passing_mei_typische fouten omvat, 
zoals nicl-geinitialiseerde variabelen. 
dode code, verouderde method-calls, 
eye )i sc he verbanden en redundantic. De 
gcteste tool meet zoveel mogelijk fouten 
automaiisch herkennen. 


informatie als er fouten optreden, Een 
raadsel blijft ook het doel van de pure 
Java-database JDataStorc, die niet uit- 
blonk qua performance en (K)k niet 
cenvoudig te bedienen is. 

lets vergelijkbaars geldt voor hel ont¬ 
wikkelen van Swing-clients met de 
GUI-builder, die weliswaar de two-way 
methode beheersl, maar die nog ver ver- 
wijderd is van de klasse van een GUI- 
builder als Matisse (NetBeans). De extra 
tools uit dc Optimizc-it suite, kunnen de 
tool op het gebied van kwalitcilsgaran- 
lics daarentegen enorm opwaarderen. 
Ook aan dc mecgelevcrde VisiBroker, 
de ORB-implementatie bij uitstek, hoef 
Je geen woord vuil te maken. 

Wat snciheid en het gebeugen- 
verbniik betrefl, valt er nicts vrolijks te 
bcrichteii, Hier dealt JBuilder het lot van 
hel VCrwante J Developer. Maar in tegen¬ 
stelling tot JDeveloper is JBuilder in 
slaat <x>k op minder kmchlige machines 
met 512 MB werkgeheugen vloeiend te 
werken. De refresh-problcmcn en het 
slechte geheugengedrag zijn echler 
nogal opvallciid. Je kunt gelieugen web 
iswaar handmatig vrijmaken, maar vaak 
is het beter om de workbench gewotm 
opnieuw op te starieii. 

Vanwege zijn veelvoud aan connec- 
u>rs overtuigt JBuilder vooral bij dc 
Rnlcrprise-onlwikkcling met EJB en 
CORBA. Ook bij Rapid Application 
Development met de op Swing bouwen- 
de proprictaire dalabasebibl iotheken 
biedt JBuilder tegenover dc open-sour- 
ceconcuiTentie veel voordclen. Zti kun 
Je mcl deze bibliotlteken snel rich clients 
met een databasekoppcling en een 
tmxle 1 -V ie w-arch i tectu u r ontwikkelen, 
/x>ndej- dal Jc diepgcuuide kejinis over het 
program meren van databases hoe ft te 
hebben. CeVnteressccrdcn kunnen een 
blik werpen op de goedkopere JBuilder 
Edilion, die vtxir dczc doclcinden door- 
gaans volstaat. 

JDeveloper 

Sinds korl is Oracle JDeveloper in 
versie 10.1.3 verkrijgbaar. Waarschijn- 
lijk is deze IDE allecn bekend bij data- 
basespeeialislcn en gebruikers van de 
hujseigen Application Server of van de 
02R-UKij 1 bpLink. Desondanks behiK)rt 
JDeveloper tot de kmchtigste en me^t 
omvangrijke Java-omgevingen. De tool 
iiecjiU in dc Studio Edition na het inslal- 
leren ongevcer4(KJ MB lunddiskniimte 
in beslag en om er enigszins vloeiend 
mec te kunnen werken moet je minirnaal 
512 MB werkgeheugen hebben. Alsje 
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Vooral bi| database- en enrerprise-otitwikkelrng wist JDevelaper te overtutgen 
(cfbeelding 2), 


niei alle funciics van dc/c variant nodig 
hcbt, kun je ook een uitgekiede versie 
gebruiken. 

JDevcIopcr vindt cK>rsprong in 
het JBuilder-project, winirvan Oracle 
een licentie op de broncodc vcrwicrF. 
Op deze basis ontwikkcldc het hedrijf 
ecn eigen Java-work bench, die al sinds 
1998 wordt uitgebracht (zie kader 'Info 
op het web'). Sinds versie 9 be vat dc 
software geen code van JBuilder meer, 
Uiterlijk is de verwantschap cehter nog 
duidelijk zichtbaar. 

De interlace is gebaseerd op liet 
Swing“framework en wordt zoals 
gebmtkelijk ondervcrdccld in pmject- 
beheer, editor, structuurweergave en een 
console. Onder de kap presenteerl de 
vollcdig Java 5-coiiipatibele IDE een 
krachtig build-management, een eigen 
compiler en een grafische debugger. In 
plaats van de geViUegreerdc compiler 
kan de ontwikkelaar ix>k de standaaid- 
compiler van de JDK gebruiken. 

Towel voor client-, database- als 
voor web- en entcrprisc-ontwikkeling is 
de workbench voldoende iiitgerusl. De 
leksleditor kan met bijna alle gangbarc 
bestandsfonnalen in dc Java-wereld 
overweg (XM!., CSS, HTML Java¬ 
script etc.). Het is niet verwonderltjk dat 
de tool bij het ontwikkclcn van data¬ 
bases geen zwakke plekken Rent en 
hiervoor speciale bibliotheken gebrutkL 

Wat webontwikkeling betreft, biedt 
J De ve leper bu i le n ge wo ne mogel ij k- 
heden, De ontwikkelaars hebben nicl 
alleen een webpreview ingebouwd, 
maar ook dc enige WYSIWYG- 
webeditor van alle geteste kandidalcn. 
Natuurlijk is dat Irulpmiddcl niet met 
Dreamweaver Ic verge I ij ken, toch is het 


mogelijk om zonder aanvullende web- 
cdiU)r Java Server Pages met visuele 
controle te ontwikkelen, Ook intcres- 
sant: een visuele editor voor JSF, waar- 
mcc gebmikers bet verloop van de web¬ 
toepassing kunnen vornigevcn. 

In dc test bcwces J Developer zich als 
krachtig, maar erg langzaam. De work¬ 
bench start niet alleen traag, maar hceft 
ook veel werkgcheugen ntxlig cn vereist 


inlclliJ Idea, JBuilder, JDeveloper cn Net- 
Beans maken voor het programnieren van 
interfaces cn het sturen van het nesullaal 
gebruik van een conibinalie van AWT en 
Swing. Eclipse en het daarop gebaseerde 
Rational Application Deve]ot>er zijn geba¬ 
seerd op de speciaal voor dit opcn-sourcc- 
projeci nieuw ontwikkcldc bibliotheken 
SWT/JFacc. 

Oin Java-progrannna's gcmakkclijker te 
kunnen porten, tekent de Swing- 
bibllotheek alle widgets (emulatie). 
Swing heeft onder ontwikkclaiirs de repu- 
lalic dut hcl vcc:l werkgeheugen verbmikt, 
wal af cn toe merkbaar wordt door een 
gestage toename van hot geheugengebruik 
en verlTiigingcn in dc reactietijd. 

Niet zelden verscheen lijdcns dc test bij het 
wisseicn uaar een van dc Swing-lDE’s 
ccrsl cen grijs hcx>fdvenster, vervolgens 
werd het seherni al llikkeiend opgcbouwd, 
Wiiarna de IDE in voile gloric te l^ewonde- 
ren was. Dat gebeurde vonral wanneer dc 
ontwikkelomgeving met een groot project 
bezig was. Refresh-piublc men doken ook 


bovendieii een snellc computer, Zelfs 
met klciticrc pmjecten treden op een 
minder vlotte machine opvallende 
refresh-problemen op cn /ijn er vertra- 
giiigcn bij bet opbouwen van het beeld- 
schemx, Afgezien van de zwakkc pcrlbr- 
mance was J Developer als allri>und tool 
wel overtuigend. 

Voor het ontwikkelen van clients heb 
je met de GUl-buildcr van Net Beans 
weliswaar een beter te beclienen product, 
maar de J Developer-pendant l>eheerNt 
daarentegen wel de two-way methode, 
genereerl zondcr gereserveerde code- 
blokkcn en leest zonder tiiorren hand- 
niatig geoptimaUseerde code in 
(zie kader 'Gebruikte methode: GLII- 
buildcrs'), Verder lieten web- en dalaba- 
seprojecten zich zonder problemen 
importercii en uitvoeren* Alleen bij het 
analyscren van fouten en dode ctxlc cn 
bij het fiexibele build-management kx>pt 
Eclipse duidelijk v(M>rop, 

NetBeans 

Versie 5.0 van ftel open-source 
NetBeans-pmjccl is in twee varianten 
verkrtjgbaan als basis-ontwikkelonige- 
ving of met een toegevoegde Sun Appli¬ 
cation Server, Hicr hchben we tie twee- 


op in de Swing-gebaseerde leksteditors van 
de testdeclnemers, waarbij dc regcls veel- 
vuldig ovcrlapten. 

In legenstelling lot Swing zet SWJ7JFace 
voomiimclijk native interface-elementen 
van hel bestufingssysteem in. In de regcl 
bctekefit tlil tlai hel besluringssysicem de 
widgets van cen SWT-pix>grajnnm tekent - 
verge leken met Swing is dat mcestal dc 
methode die de vooriteur hceft, Afgezien 
van dc lagcrc ret^h-tijden heeft deze 
methode het vooideel dal de native look- 
and-fee I van hel besturingssysteem steeds 
gewaarborgd blijft. 

Overigens heeft SWT/JFacc ook nadclcn. 
Deze Eclipsc-bibliothcken zijn geen 
bestanddeel van een Java Runlime Envi¬ 
ronment (JRE) en ze zijn ook niet bij het 
Java Community Process (iCP) betrokken. 
Daarom mocl je ze voor elk platform apart 
porten en distribueren. Met SWT/JFacc 
onlwikkeklc programma's verliezen pt>na- 
bilitcit als cen van de lieweegredenen om 
voor Java te kiezen. 


GUI-bibliotheken: Swing of SWT/JFoce 
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Jova-IDE’s - Features en beeordeling 


Prwliift 

Vffsie 

Fcbrikanl 

Webc>drBS 

Eclipse met WTP, VIP 

3.1.1 

Edipse.org 

www.edipse.ixg 

Intelllj lde« 

5.0.2 

Islbtains 

www.jBtbrains^CDm 

J Builder Enterprise Edition 

2006 (alios 12.D) 

Bciiond 

www.bofbnd.com/benclui 

JDevebper 
lOg (alios 10.1.3} 

Grade 

www.Qradeiom 

Systeemeisen 

BflSlurinQ^leern 

Windows, Unux, Unix, Mac OS X 

Windows, Umi, Lloix Mac OS 1 

M^ndaws, linait^ Solans 

Windows, Linii^ Mac OS X, Unix 

JDK 

mf JDK 1.4 

mf JDK 1.4 

vonof JDK 14 

vQnafMl.5 

Werkflebeug«n 

512 MB 

12 B m 

76B MB 

512 MB 

HDrddiskcQpflcjt^jt 

125 MB (ulleen IDF) 

100 MB (zandet iRE) 

570-650 MB 

rond 500 MB 

Prijs 

graft! 

4?? ddinr, QS-Projekren gratis 

3500 dnlinr 

gratis 

JDKswifching 


n/ 

v/ 


lava-compiicf 

v^, eigen implemenloiie 

(^voc jikes] 

v/ 


iovo-debugger 

v/ 




Persoofilijke IDE-conliguralifi 





Refoctoringfuncties (Refoctofmg) 

diverse 

maer dan 50 

mear dan 25 

37 

Tempkiies 

mm 

djve5e 

ctiversa 


Anhupporl 



v" 

v/ 

Gejnregr«e(d sourtMode^gmt 

s/.evs 

diverse 

dwsfse 

diverse 

RldKli^nl oiitwikkeling 





Synlox-highkgliTmg 

v/ 


v/ 


GUIbiilder 

via VsuoE Edilw Piajcd 

>/, Swing 

AWl, Swing, tJ&dBSigner 

Swing, AW1 

ProgmmmeBfhuip 



y 

sZ 

StoTisdie codeDDnlyse 

v' 



sZ 

Meeivoudige undo/redo 





Coda biding 




%z 

CodefcKmtjiting 

v/ 

v/ 



Ontwikkelen vnn InvQ Beurti 

VEF 

- 



Databasfriintwikkeling 

JDBC'dalnbflsebtowsei 

v/, via WTP 

via ptug-ins 


^Z 

SQkoisole 

v/, vio MP 

via plugHns 


vZ 

JDBC-fflflnJtor 

- 

- 


- 

Edilor SQL SyntocK HighEighting 

vioMP 

“, vio plugJns 

- 

vZ 


Webotitwikk^iing 


HTML 

4.01 

4.01 

4,01 

4.0.1 

XHfML 

I.O 

b 

1.0 

1.0 

XML 

1.0 

1.0 

1.0 

1.0 

CSS 

10,2.0 

lor 2.1 

^z 

2.0 

Servlet 

2.2,2.3,2.4 

lot uan 2,4 

2.2,2.3,2.4 

13,2.4 

JSF 

s/ 



^Z 

JSF 

- 

- 

O^gnei ontletsliunt 11 


Sytifoxistontiole (doojnient/ttirecfoiv/sll®) 

W“/- 

W-/- 

- 

nZ 

Corf role von links (ikKominl/site) 

-/- 

v^y- 

- 

- 

Webpreview (intem/extern/configureeiixiar) 

^/vZ/^ 




Web'ServicesMcmitor 


- 

vZ 


Web Services 


vtfl Plug-ins 


\Z 

Webserver 

ntle fanglinre 

a[lc gangbore 

nlle gongbors 

olle gongbare 

Interprise^ntuirkkutiiig 

CORBfrsopport 

_ 




EJBwpport 

™ W1F 

s/ 

sZ 


Applicfltion Server 

VFO W1P, gangbore 

Weblogk 

gangbore 

gongbore 

lOkompiler 


- 

xZ, Visibfoker lOl meegelsverd 

- 

tX-beoordeling 

@ veel bosisfanefiK 

0 veel bosisbricties 

©.£^^erpri5fr^x^twrkkl1ing 

0 dnfaboseentwikkelmg 

0 RidvCbant-antwikksiing 

0 Ridi'Clierrl-onlwikkeling 

0 codeonDlyw 

0 EnletpfwntwikErelrr^g 


0 Enterpeisfrontwikkefing 

0 bedieningsgcmok 

0 uitvoersnelbeid 

© verbftiik van resources 


0 codflonnEyse 

0 verJxuik van resouKes 

0 vetbrnik von resourcss 

0 uitvoersnelheid 


0 verbuik vntt losourcK 

0 irifvoffrsneEheid 

0 EnterprsMnhwkkellTig 




de variant getcsL Dc harddiskniimte van 
250 MB voor de tmis-TDE plus appli¬ 
cation server en de 384 MB werkgeheu- 
gen ganinilcren ccri stnijKle werking, 
NetBeans ontstond in 19% uit cen 
siiidcntenproject (zie kader inlb op het 
web'). In 1999 k<x;ht Sun de IDE en ver- 
trouwde deze een jaar later aan dc open- 
sourccgemeenschap toe. E>e helder 
vormgegeven interface van de met 


Swing ontwikkelde onlwikkclomgeving 
is ingedeeld in een projeetweergave, 
tekstedilor, structuiirweergave en een 
console, De editor heeft twee modi: 
Text en Design view. Achter die laatste 
gaal cen GUl-buildei met de naam 
Matisse schuil, cen van dc grootste en 
belangrijkste veri^eteringen van de hui- 
dige versie* Het buildmanagemenl is 
volledig verweven met Ant, de make- 


tegenhanger v<K>r Java, en volledig 
JDK-compatibeL NetBeans ondersteuni 
allc nieuwe taalkenmerken van Java 5. 
Via de platform manager kun je opk 
werken met verschillende JDK’s (JDK 
switching). 

In tegensteliing tot Eclipse, JBuilder, 
JDeveloper en Rational Application 
Developer gebruikt de workbench gecn 
eigen compiler, maar maakt hij gebmik 
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Helbeans 

fiotiofial A|t{iltcsfien Developer 


5.0.11 

N&tbeo ns.org 

m 

www.fietbMns.otg 

wwwJbm.rom 

ellwniinOK 1.4.2 

Ltiux, Windows 

wnof JDK 1.4.2 

m 1.3, \A1 

512 5X\m 512illB 

m MB 

vDOr App.-Sonffir 

525 incL ApprSoivoi 

3.5 GB 

gcolis 

op DonvTDog 

vZ 

vZ (zools bij Edipss) 


vZ 



%/ 

[vio Eclipse) 

divetse 

sZ 



wZ 

\/ 

CVS 

v^, mh in Edipse, Goorcose 

vZ 

vZ 

>/, Matisse 

>/, divetse 


v/ 

v/ 

^z 

s/ 




V' 



vZ 

vZ 

vZ 


%z 


vZ 



m 

m 

1*0 

to. 11 

10 

1.0 

2.0. 2.1 

11 

via wizords 

2.2,2.3,2.4 

v' 


vZ 


vZ/^/^ 

✓/✓/- 

^z/^ 

w- 

v^/sZ/>Z 


- 

✓ 


>/ 

atle gongbflre 

alte gDngbnre 



garigbore 

WebspbHfB, Wflhiogic 

© RiclKClwnt'Onhwikbljng 

© dotnbDSftfnfwikkding 

© webcntwildoling 

@ w&bonNkketing 

© Nionirgsgeinak 

© fntefptiseentwikkeling 

0 codeonfllyso 

© gsen Jovo SHwde^steuiring 
© uitroersneihoid 


0 vtrbioik vdh resootces 


van dc aclieve JDK-compiler* Met de 
grdflsche debugger is hoLswap-dcbug- 
ging mogelijk, zolang de ontwikkelaar 
de interface van de klasse tijdens runti¬ 
me maar niet wijzigt. Voor hel ovcrige 
biedt de tool inmiddels KLandiiard aan- 
wezige features, zoals remote-debug¬ 
ging, diverse beoordelingsfunctics cn 
conditional breakpt^ints. Ook de refac- 
toringfuncties bchoren tot de betere* Zo 


kun je classes cn methods nteiiwe 
namen gcvcn cn /.owe! in de project- 
wcergave als in de editor verplaalsen. 
Verder kan de gebruiker blokken code 
in methods omzcttcn of met try-catch 
blokken omgeven, 

NetBeans was na InlelliJ de snelste 
Java-IDB op Swing-basis en kon ons 
bovcndicn op nagenoeg alle punten 
overtuigen, Voor hel ontwikkelen van 
clients met Swing-GU! blijkt Matisse 
een zeer goede ttroi te zijn. Teleurstel- 
lend is de proprii^tairc melhodc waar- 
mee deze lotil dc lay-outinformatie van 
de GUI opslaat en hiervoor schrijfbe- 
veiliging aan codeblokkcn hinnen de 
broncode opiegt* 

Bij hel importeren en bij de ontwik- 
keling van web- en enlcrprisc-projec- 
ten kan dc vrije software eveneens 
pynlcn scoren. Ook heel geslaagd is de 
overzichielijke lijstweergave van de 
verschillendc webserverinstanties en 
de daarin draaiende servlets. Hike Web¬ 
server en elke servlet liel zich op een- 
voudige wijze configurcren, starten en 
afsluitcn. Functies voor bet prograni- 
mcren van applicaties met Java Server 
Faces completercn dc ontwikkelmoge- 
lijkhcden voor het web* 

Duidelijke zwakke plekken kwamcn 
aan het licht bij dc ondcrstcuning van 
distributed applications met CORBA 
en bij statische codeanalyse. NetBcans 
was bij het laalstc tcstcriterium 
bijvix^rbccld niei zo snel en zorgvuldig 
als Intel I iJ en Eclipse bij hel vinden 
van fouteii en dodc code in het reteren- 


tieproject* Als jc zulkc fouten al tijdens 
het ontwikkelen wilt verniijden, moet 
Je extra plug-ins voor statische code- 
anaJyse inzetten. 

Rational Application 
Developer 

IBM denkt groot en biedt very it 
het omvangrijkste ontwikkelpakket. 
Rational Application Developer 
6*0.1.1 neemt na de volledige installa- 
lie op de harde schijf een ongelofelijke 
4 GB in beslag cn het heeft ook nog 
eens miniinaal 76H MB werkgeheiigen 
nodig* De IDE is de opvolger van 
Websphere Studio Application Deve¬ 
loper, is tevens gebaseerd op Eclipse 
3.0 en inregreert de Rational Web 
Developer* Net als bij Eclipse 3.LI is 
de interface van de tool met 
SWT/JFace geprogrammeerd, vandaar 
dat deze een native look-and-feel heeft. 
In tegcnstelling tol de nieuwste Eclip- 
se-vcrsic is er geen poit voor Mac OS 
X aanwezig. Wat niet onvcrmeld mag 
blijven, is dal dc ontwikkelomgeving 
allcen met JDK's tot 1 .42 samenwerkl, 

Een opsoniming van allc features 
van de ongeveer 2(KX1 plug-ins, valt 
buiten de scope van dit aitikel. Maar 
het iianbod varieerl van clientside 
development met AWT/Swing en 
SWT/JFace en webontwikkeling met 
Struts en Java Server Faces tot enter- 
prisetoepassingen met EJB en Ixgacy- 



Nelfieans heeft de beste GUl4}uiider voor Swing-interfaces (afbeelding 3). 


iX 3/2tK)ft 


61 













































REVIEW 


Ontwikkelen in Java 


Info op het web 

ArMkelen door de Eclipse^community www.edipse.ofg/orllcles 

Htstorie van JDeveloper radio.weblogs.com/OI 18231 /stories/ 

2005/02/25/htsloryOfJdeveloperReleoses.hlml 

Historie van NetBeons www.nefbeons.Ofg/cboot/history.htnil 


systeinen. Ging hel cnkcl cn alleen om 
hei aantal functies, dan /oudcn we het 
pakkct van IBM zonder twijfel tot test- 
w i n naar mc>eten u i troe pe n. 

Ecn nauwkeurigere blik opcnbaart 
nverigens dnidelijke gebreken* JDevelo¬ 
per is de entge IDE in de test die Java 5 
om onbegrijpelijke retlcnen nog niel 
ondcrstennt. En de Visual Editor, die 
van Eclipse is overgeiUHnen, is ten op- 
zichte van commerciele Ellipse-plug-ins 
als Window Builder Pj o of de uitsteken- 
de GUT-builder Matisse in een workben¬ 
ch in deze prijsklassc gewoon rnis- 
plaatsL. 

Sainen met JDeveloper bleek her 
IBM-prodiict het langzaurnsl, rnaar viel 
niet op door re fresh - pro ble men bij 
gehciigengcbrck (zoals de Oracle-con¬ 
current of JBuilder). Verder biedt de 
IDE uitstekende ondei’stetining bij eIke 
ontwikkelhandeling, met uitzonderi ng 
van Swing-GUl's, het prt>grammeren 
van CORBA-servers alsmede web- 
ontwikkeling mcl anderc servers zoals 
Websphere of Apache/ToTneat. 

Dalabasetoepassingen kiin Je met een 
paar miiisklikken bijeen klikken. Con¬ 
nectors voor DB2, Informix, Cloud- 
scape, SQL Server, Oracle en Sybase 
zijn besebikbaar. De ufsluitende analyse 
van het testprojeci met verschillende 
fouten en dode code verloopE op cen 
vergelijkbaar niveau als bij de conciir- 
rentie. In deze test biedt alleen de laatste 
versie van Eclipse hoogwaardige 
geautomatiscerde foulenaiialyse en bete- 
re configuratiemogclijkhcdcn. Bij hand- 
matige codeanalyse heeft JBuilder met 
zijn Optimizc-it suite een duidelijke 
voorsprong. 

Conclusie 

De prestaties en het uiterlijk van 
Java-IDE's zijn vrijwcl gclijkwaardig. 
Zwaarwegende fiinctionele versehillen. 
zoals die ecu paar jaar geleden nog 
voorkwamen, zul jc nict mcer viiiden. 
Wei tref je nog enorme verschillen in 
de prijzen en configuraties aan (zie 
tabel 'Java-ITJE's - Ecatures en beoor- 
deling’). Aan welke ontwtkkeiomge- 
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ving je uiteindelijk de voorkeur geeft, 
hangt af van de eisen van de ontwikke- 
laar, diens smaak en de omgeving. 

Versie 3,1.1 van de Eel ipse-work¬ 
bench is op grond van de basisuitrusting, 
het projectmanagement, het vervaardi- 
gen van applicatics zonder server- 
koppeling, clientdevelupment zonder 
Swing-interface, Jiistelmogelijkheclen en 
- dankzij hcl Web Tool Project — dxita- 
baseontwikkeling via JDBC zonder 
twijfel de leidende Java-ontwikkelom- 
geving. 

Als je de knowhow mist of geen tijd 
hcbl vtK>r configuratiepogingen en het 
evalueren van Eclipse-plug-ins op het 
gebied van Swing-, web- cn enterprise- 
devclopnient, dan kun je uit goede alter- 
natieven ecn keuze niaken. Voor het 
vervaardigen van Swing-interfaces en 
wcbdevelopnient heb je aan bijvoor- 
becld NetBcans een uitstekende en te- 
veils kosteloze IDE, lerwijl JDeveloper 


De geteste ontwikkelorngeviiigen gebrui- 
ken verschillende soorlen GULbuilders. 
Grofweg kun Je die in twee categoricen 
ondcrvcrdclcn: IDEs die in de one-way 
modus werken (forward-engineering) en 
nieer geavanceerde two way tools, die cen 
cchic round-lrijj-melhode bestaande uit 
foiward- en reverse-engineering belieersen. 

Bij de eerste variant wordt dc gebmiker 
gedwongen om Jc grafisclie interface van 
een toepassing primair met dc GUI-builder 
tc ontwikkelen. Deze tcKils inaken vanuit 
dc WYSlWYG-onlwcrpmodus propi iciai- 
re besianden cn schrijfbcvciligde code- 
blokken aan. Daardtxir is her praktisch 
onmogclijk om GUI's afwisselend in de 
tbmi- en GUI-cditor ic ontwerpen. Bij cen 
wijziging worden de blokkcn code steeds 
wccroverschjievc.n, w^iardCH'ir dc ontwjkkc- 
laar in geen gevaJ extern wtjj^^igmgen mag 
modifTceren. 

Bij de tweede variant zijn veranderirtgen 
die je aanbrengt in de form editor direct 


vcxir web- cn enterprise-development en 
het progrummeren van databases een 
voordelige allroiinder is. 

in het commerciele kamp bleek Intel- 
liJ Idea een goedkojx; Ux>l die je aan- 
genaam veel resources bespaart en 
die alleen bij de web- en enterprise- 
development hiaten vertoonde. Vooral 
bij kwesties als het verbruik van resour¬ 
ces, de intuitievere bediening en de 
prijs/prestatieverhouding kon deze IDE 
overtuigen. Borland JBuilder cn IBM 
Rational Application Developer vormen 
tie uchierhoede cn moeten zich zorgen 
gaan tnaken op het gebied van de 
prijs/prestatieverhouding. Veel ontwik- 
kelaars zullcn deze twee tools als overk¬ 
ill beschouwen en te lungzaam voor de 
taak. De vraag of de support en de extra 
functics dc hoge koslen rechtvaardigen, 
moet ieder voor zich beantwtKirden. De 
bcidc tools ontbneekt het in elk geval 
niet aan wizards en add-ons, Wat wel 
ontbreekl, is de mogelijkhetd om voor 
ecu acceptabele prijs alleen dat le kopen 
wat je wcrkclijk mxlig hebt: een soepele 
en goed configureei’bare ontwikkeL 
omgeving. 

BERNHARD STEPPAN 

is softworeonlwikkeioot, consullanl en 

outeur M 


zichlbiiar in dc code, en veranderingen in 
de code zijn direct zichtbaar in de form 
editor. Deze variajit is natuurlijk wcl wat 
krachtiger, omdat je daomiee cen 
WYSlWYG-modus tot je beschikking 
hehi die veranderingen direct zichbaar 
maakl. Je mag de broiicode mcxlificcrcn 
zolang deze rnaar aan bcpaalde conven- 
ties voldoet. Deze two-way methode 
wordt loegepasL door de GUi-buildcrs 
van Bel ipse cn JBuilder. 

Toch wordt hel goede van cen 
GUl-builder nict alleen door de gebruik- 
ic nieihode bepaald. Dc mcihodc legt 
alleen va.st hoe Bexibel je kunt werken. 
Maalgcvcnd voor de kwaliieil is in eer- 
ste instantie hoe sncl jc met de tool in de 
WYSIWYG-mod us kunt werken, welke 
mogelijkheden de tool voor het rang- 
schikken van widgets beheersi, hoe 
eorreet hij gecompUceerdc lay-outs 
weergeeft cn nict in het minsi hoe zuiver 
(zeg: ieeshaarj de broncodc is die de 
generator produceeri. 
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Beveiligingsconcepten 


NAC en NAP: quarantaine 

moet bedrijfsnetwerken beter beveiligen 

Schat, stoat 
de pc koud? 

Johann Baumeister 

Op zoek naar nieuwe beveiligingsstrategieen 
hebben fwee fabrikanten het voortouw 
genomen: Cisco en Microsoft. Beide hanteren 
een gelijksoortig uitgangspunt. Het addertje 
onder het gras: alle andere software- en 
hardwareaanbieders moeten meedoen, 
anders heeft dit geen zin. 



D e inzet van firewalls of in- 
Irusion-detection- en prevention- 
sysiemen is voor de veiligheid a) 
lang geen garanlic mecr. Deze tools 
kunncn aanvallen op de hogere lagen 
van het ISO/OSI-model evenals SQL- 
of command-injection niet verhinde- 
ren. Ook zijn ze machteloos tegen het 
simuleren van valse identiteiten (Man- 
in-the-Middle-aUacks) of het hinnen- 
loodscn van gevaarlijke code via een 
VPN-tunneU Vandaar dat de fabrikan¬ 
ten naar nieuwe lechnicken zx)cken - 
cn welliehl ook naar omzetkansen. In 
plaats van te zoeken naar potentiele 
aanvallen in de gegevenssln)om, zoals 
bij firewalls of intrusion-prevention- 
systemen het geval is, wordt de bal tiu 
naar de gebruiker tcmggespccid, 

Dc gebruiker die toegang wenst, 
moet aantonen dat hij uitsluitend 
oprechte bedoelingen heeft - of dat zijn 
apparaat op ziJn minst aan de gevestigde 
beveiligingsstandaaids voldoet. 

Alleen wanneer het apparaat aan 
bepaaldc criteria voldoet, krijgt het 
toegang tot het bedrijfsnetwerk en de 
bijbehorende resources. Afhankclijk 
van de resuUatcn van deze toetsing 
worden de vervolgacties ingeleid. Die 
varieren van nog meer controles, tolale 
toegangsblokkadc of gcrcduceerde toe¬ 
gang tot afzonderlijke netwerkresoiir- 


ces en verbinding met speciale servers 
voor hei downloadcn van patches. Spe- 
ciaal ingerkhte herstelservers (reme' 
diation servers) kunnen dan alle fune- 
ties en tools beschikbaar stellen, die de 
computer in de beveiligde doeltoestand 
overzetten. 

Dc bekendstc eti omvangrykste con- 
ccplen komen op het ogenblik van 
Cisco en Microsoft. Cisco noemi het 
Network Admission Control (NAC), 
Microsoft omschrijft zijn uitgangspunt 
als Network Access Protection (NAP). 
Zo identiek als de concepLen (NAC en 
NAP) van beide aanbieders klinken, zo 
vergelijkbaar is in wezen ook hun 
implementatie - hoe we I die heel ver- 
schillend is uitgevoerd. Cisco voert 
deze uit met zijn netwerkcomponenten. 
Microsoft bouwt daarenLegcn op spe- 
cialc softwarematige serversystemen, 
die met de komende Vista- en Long- 
hom-servers beschikbaar zullen zijn. 

Beveiligingscontrole is 
noodzaak 

Het gemeenschappelijke doel is in 
beide gevalIcn dc vroegtijdige toetsing 
van een apparaat: al bij het eerste con¬ 
tact, nog voordat het toegang heeft tot 
de resources van het bedrijfsnetwerk. 


Daarin ondcrschcidt deze controie zich 
van een toetsing die bijvoorbccld in 
het inlogscript plaatsvindi, want in dat 
geva! heeft de client al toegang tot het 
bedrijfsnetwerk en de daarin gcinic- 
greerde servers. Cisco daarentegen 
breidt zijn besturingssysteem (Cisco 
lOS) uit met de noodzakelijkc routi¬ 
nes, die elk tocgangzockcnd apparaat 
aan bevciligingscontroles onderwerpt, 
En omdat uiteindelijk elk apparaat 
(desktop, notebook of PDA), voor 
mvcT hcL Loegang tot een hedrijfsnet- 
work zoekt, door een of andere 
netwerkcomponent zoafs cen switch, 
router, WLAN acccsspoint of VPN 
gateway moet worden geloodst, kun je 
die beveiligingsconU'ok ook niet mecr 
omzeilen. 

Dc architectuLir van Ciscoes NAC 
baseen zich op meerderc bouwstenen 
(zie afbeelding I). Apparaten die toe- 
gang willcn krijgen, hebben allereerst 
een agent nodig, de Cisco Trust Agent 
(CTA). Deze vt>erL de controles van 
de cindapparaten uit. Resultaten en 
instructies krijgt de CTA bij de 
opbouw van dc verbinding via zijn loe-^ 
gangsnode, dc NAD (Network Access 
Device). Dc NAD op zijn beurt, leidt 
de aanvragen door naar een NAC poli¬ 
cy server, de Access Control Server. 
Deze houdt zich bezig met de autorisa- 
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tie, authenticate en accounting en 
wordi daarom ook wei als AAA-sys- 
teem aangeduid, 

Deze profielenserver bepaalt aan 
wclke hcveiligingseisen - zoals patch- 
level, vimsscanner of desktopfirewall - 
de client moet voldoen om als brand- 
schtK>n Ic gclden en loegang tot het 
bedrijfsnetwerk te vcrkrijgcn, Maar 
zelfs daarniee is het scenaiio nog niet 
complect. Daaracliter beviriden zich 
nog de tools van diverse system- 
management-aanbieders. Deze leveren 
uileindclijk dc definities over welke 
vei 1 igheidsmaatregelen, bijvoorhceld 
het uitvoeren van welke servicepacks 
of patches, jc op hel onderzochte appa- 
raat moet aantreffen. Daarloc kunnen 
in het vervolg ook bepaalde minimum- 
slandaards vcKir wachtwoorden, de ult- 
shiiting van fileshares of geslolen 
poorten behoren. 

Op gnind van de centrale rol zijn 
bovendien combinalies van tools denk- 
baar. Zo kan het opsporen en de ver- 
wijdering van virus sen of spyware 
door een speciale tool worden uilge- 
vt>erd, terwij! dc verdeling van de 
patch om het gat te dichlen door een 
tweede tool kan gebeuren . 

Vakkennis bundelen en 
coordineren 

Als partner voor beveiligingseontro- 
les komen allc bedrijven in aanmer- 
king die hiervoor tools leveren. Dal 
zijn bijvoorbeeld aanbieders van virus- 
scanners, tools voor patch manage¬ 
ment, application blockers, anti-spy¬ 
ware, anti-malware en ook fabrikanten 
van tools voor desktop management. 
Cisco vcrwijst momenteel naar onge- 
veer 6() partners, Omdal al deze aan¬ 
bieders in hull desbetreffende segment 


Op alle apporaten die toegang 
willen, moef de Cisco Trust Agent 
gemstalleerd zijn. Deze 
controleert de status quo von het 
opparoat en stuurt deze via NAD 
verder naar de policy server. De 
server krijgt von de fabrikont 
informotie over gewenste 
potchtoestanden of andere 
veiligheidsmaatregelen, op basis 
waorvan de Trust Agent het 
aanvragende opparaat 
vervolgens goedkeurt voor 
toegang tot het network 
(ofbeelding 1). 
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^-TRACT 

• Met de gebruikelijke 
beveiligingstoepassingen 
von firewalls en dergelijke 
kun je long niet alle 
aanvallen op IT-systemen 
afweren. 

• Meerdere fobrikonten, met 
Microsoft en Cisco voof- 
op, zetten in op gecontro- 
leerde loegang tot het 
netwerk: alleen apporaten 
die geidentificeerd wor¬ 
den en aon een gedefini- 
eerd beveiligingsniveau 
voldoen, mogen ertn. 

• De methoden hebben nog 
geen noemenswaardige 
reikwijdte, moor in de 
toekomst kunnen ze wot IT* 
beveiliging betreft een 
zinvolie uitbreiding 
vormen. 


een hoge mate van competentie en er- 
varing be/iUen, neemt NAC van Cisco 
de cobrdinatie van alle actics voor zijn 
reken ing evenals het introiiuceren van 
maatrcgelcn voor liet elimineren van 
alle bekende bevciligingsgebreken die 
als poicntiele aanvalplekken in aan- 
merking komen. Zowel de configura- 
ties als verdergaandc software voor het 
bereiken van de gewenste toestand van 
de client worden door de partners 
bijgestiuird. Zij leveren dc plug-ins 
voor de CTA, 

Altiris, heeft onlangs bijvoorbeeld 
zijn Management Suite uitgebreid met 
een 'Quarantine Solution' inclusicf 
NAC-support. Daarmee kun je client- 
apparaten conftgureren alsook de 


noodzakelijke maatregelen treffen in 
het gcval dc client niet aan de vereiste 
bevciligingseisen voldoet, Dcgene die 
voor de beveiliging verantwoordelijk 
tsiegt dc uil le voeren coiUroles en de 
daaropvolgende acties vast in de Alti- 
ris beheerconsole, zoda! NAC /.e als 
pro fie I van eisen en react ies kan 
gebruiken. Ook andere suite-fabrikan- 
teii, zoals Landesk, HP, Symantec en 
IBM, willen met NAC samenwerken 
en adequate behecrsoriware aanbieden, 

Microsoft heeft zich tot op heden 
cchter nici bij het NAC-initiatief aan- 
gesloten, maar wil wcl samenwerken, 
Windows Vista zal dan ook de CTA 
van Cisco bevatten en daardoor via 
Cisco-apparaiuur met NAC kunnen 
samenwerken, Onatbankelijk hiervan 
strecfl Microsoft met NAP naar een 
sooFtgelijke siralegie. NAP moet met 
Windows Vista en de 1 .onghom Serv'cr 
worden mcegeleverd en baseert zich 
op een samcnspcl van meerdere ser- 
versystemen en richtlijnen. Net als bij 
NAC moet het toegangzoekende appa- 
raat alleen dan toegang krijgen wan- 
neer het bepaalde beveiligingsrichtlij- 
nen ondersteunt, 

De architectuur van NAP is, hoewel 
verschtllend opgelost, in hoofdlijnen 
gelijksoortig. Op de clients bevinden 
zich de agents (Security Health 
Agents, SHA), die bij de verbindings- 
opbouw met de Network Access Devi¬ 
ces communiceren, Deze conlroleren 
op hun beurt op de tussengevoegde 
richtlijnenserver via de Internet 
Authentication Service (IAS), de ver¬ 
eiste beveiligingsrichtlijnen, De richt¬ 
lijnen worden ook door gekoppelde 
serversystemcn behcerd. Dit zijn zoge- 
noemde System Health Servers (SHY), 
die van hun kant - net als bij NAC - 
de conflguralie-instcllingcn van hun 
pailners krijgen. 
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Vele wegen leiden 
naar het netwerk 

Dc lijst van Cisco-partners vertoont 
een zekere overeenkomst met de ver- 
zameling NAC-pailners: Altiris, CA, 
Landcsk cn Symantec - aflemaal 
ondersteunen ze beide methoden. NAP 
maakt onderscheid tussen vier ver- 
schillcndc vormcn van toegangscontro- 
le met bijbehorende quarantaine-berei- 
ken: het Dynamic Host Configuration 
Protocol (DHCP), dc uitgifte van 
IP-adressen voor veilige toegang van 
virtual private networks (VPN's), na 
authcnticalic via lEER 802.1 X en ten 
slotte IPSec. NAC ondersteiint zes ver- 
schillende toegangstechnieken, waar- 
ondcr IHEE 802.IX en tPSec. 

Zoals gezegd, zal NAP beschikbaar 
komen voor Windows Vista, de Long¬ 
horn Server en Windows XP SP2. Via 
exteme aanbieders moet ook integratie 
van andere besturingssystemen binnen 
bereik komen. Daarbij is NAP echter 
per se tot de nieuwere Windows-syste- 
men beperkt. Maar ook NAC is geen 
uiiiversecl platronn, want het vereist 
immei-s Cisco-apparatuur. Om oudere 
apparaten van Cisco* zoals de uilgefa- 
seerdc switch-reeks Catalyst 55fXy, ntet 
hclemaal uit tc sluiten* levert de fabri- 
kant tevens een agent-toze variant, die 
zonder verandcringen van de NAD kan 
werken. 

Parallel hieraan bieden andere fabri- 
kanten ondertussen eigen quarantaine- 


Verdere inlormafie 
op internet: 

Cisco Network Admission protocol (NACj 
www.cisco.com/en/U S/netsol/n3466/ 
nelwGrking_solotion5_pacl(age.html 

Microsofl Nefwork Access Protection (NAP] 
WWW. m k roloft. com/tec bn e l/i tsol uti on s/ 
n e twor k/no p/de f □ u 11 . msp 


concepten aan. Zo hebben Sygate, 
Jumper Networks, Portwise, F-Secure 
en Citrix elk een eigen implcmentatic, 
Deze implementatics gaan in de regel 
misschien niet zo ver als die van Cisco 
of Microsoft, maar gelel op de toegepas- 
te syslemcn zijn ze wel ffexibeler* Ook 
l^andesk heeft, ofschoon ze partner zijn 
van NAC en NAP, een eigen quaranlai- 
neconccpl in zijn pnigramma, Hun pro¬ 
duct schakelt een eigen DMCP-server in 
v<56r de eigenlyke DHCP-servcr van 
Windows. Na de controle door de Lan- 
desk-agents voIgt toegang tot het be- 
drijfsiietwerk - of juist nict. Zulke con¬ 
cepten helpcn cchter alleen bij dynami- 
sche verstrekking van IP-adressen door 
DHCP-servers, bij sLatisehe IP-adressen 
werken ze niet. 

De basis voor de communicatte tus¬ 
sen de dcelnemendc partners vormcn 
de standaards IEEE 802.IX, EAP 
(Extensible Authentication Protocol) 
en RADIUS (Remote Aulhenlifiealton 
Dtal-in User Services). Protocol 
802.1 X werd oorspronkelijk voor 
gebruik in WLAN's onlwikkeld, maar 
tegenwoordig zet men deze standaard 
ook in voor bekabelde, vaste iietwerk- 
verbindingen. In het eerste geval iden- 
tifiecert de client, in deze context aan- 
geduid als 'Supplicant', zich tegenover 
zijn accesspoint, die het ver/oek dtH)r- 
geci’L aan de tussengevoegde authenti- 
catieserver. In het geval van vaste ver- 
bindingen neemt de locgangsswitch 
deze rol op zich. 

Voliedige bescherming - je voelt 
het al bijna aankomen - is noeh met 
Cisco's NAC noeh met Microsofts 
NAP gewaarborgd. 

Geringe scope, hoge 
extra kosten 

Het marktonderzoeksbedrijf Forres¬ 
ter Research gaal ervan uii dat momen- 
teel sicchts 15% van de switches 
802.1 x-conform is en hierdoor door 
NAC geen voliedige aldekking van het 


De NAP-architectuur von Microsoft 
vertoont grote gelijkenis met NAC 
von Cisco; ook hter meldt een agent 
die op de client is gemstolleerd, oon 
een policy server de status von het 
opparoat dot vio NAD toegang 
wensL Wte niet oon de 
beveiligingsrichtlijnen voldoet blijft 
tot aan de octualisering in 
quarantaine {afbeeldtng 2), 


netwerk wordt bereikt. Voor NAP 
geldt lets vergclijkbaars: Windows XP 
mag dun wel 802.1 x-conform zijn, het 
bereikt evenmin een voliedige dek- 
king. Beide methoden hebben dus op 
zijn minst voor de nabije toekomst 
gemeen dat hun scope (te) beperkt is. 
Daarbovenop komen nog de kosten 
v«K>r dc disiributie van de CTA-agents 
en de firmware van de switches voor 
NAC. In het geval van Windows XP 
m(KM je de rollout samen met de licen- 
tiekosten calculeren. En ten slotte heb 
je ook nog kosten voor de infrastruc- 
tuur van de access devices en de 
authenticatieserver. 

Noeh NAC niteh NAP ncK;h andere 
vergelijkbare teehnieken kunnen hel- 
pen om opzettelijke aanvallen, van 
welke aard dan ook, aclicf tegen te 
gaan. Integendeel, ze letten er meer op 
dat apparaten die op het netwerk zijn 
aangesloten, aan de verciste bevel li- 
gingsrichtlijnen voldoen. Bijgevolg 
krijgt hun definitie een bijzondere 
betekenis. Zijn deze te los geformu- 
Icerd dan bieden ze nauwelijks 
bescherming, Zijn ze te strak geformu- 
leerd, dan worden tc vccl gebmikers 
algewe/en of in quarantaine geplaatst. 
Ook soiteren deze concepten in eerste 
instantie alleen clTecl tijdens de 
opboLiw van de verbinding. Weiiswaar 
ondersteunt NAC een tijdgestuurde, 
periodieke controle van dc client, maar 
dit is alleen bij grote intervallen zinvol 
- in ieder gevaJ niet na elk gegevens- 
pakkel. Beslaande bcveiligingsmanie- 
ren, zoals firewalls of IDS/OPS wor¬ 
den door zulke concepten dan ook niet 
Qverbodig. Ze worden gcwtM)n met een 
extra, beslist zinvoile component uit- 
gebreid. 

JOHANN BALJMEISTER 

is informdticus en heeh jarenlcnge erva- 
ring in de onfwikkeling, de rolloul en 
tiel beheer vgn soflworesystemen, 
woorover hij lalrijke ortikelen heelt 
geschreven, ^ 
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Apple-netwerken 


Xsan en StorNext: Parallelle gegevensbe- 
werking met Apple, Unix en Windows 

Appelcompote 

Torben Neuking 

Zowel in de workflow ols bij realtime bewerking op 
mediagebied hebben gebruikers soms toegang nodig tot 
een gemeenschappelijk databestand. Voor zuivere 
Macintosh'Omgevingen heeft Apple het shared-bestands- 
systeem Xsan uitgebracht. Moeten echter verschillende 
platforms samenwerken, dan kun je Xsan combineren met 
StorNext van Adic. 


A Is je de opslagresources van meer- 
dere servers in een netwerk wilt 
eon.solideren, ontkom jc haast nicl 
aan een Storage Area Network (SAN), 
Maar als diezelfde gegevens voor meer- 
dere computers beschikbaar rntx^len 
zijn, is de fysieke kopijeling aan een 
opslagsubsysteein niet voldoende* Want 
dcx>r de hlokgebaseerde verbinding ziel 
elke afzonderlijke host de ingedeelde 
volumes als cen lokate SCSI-drive, die 
de host zelf beheert en waarop hij zijn 
eigen bestandssysteeni onderhoudt, 
Gemeenschappelijke toegang tot een 


virtuele drive zou tot inconsistentie van 
de gegevens leiden. De consolidatie 
vindt dus allccn plaaLs op het niveau van 
de hardware, maiir is gecn gemeen¬ 
schappelijke gegevensopslag. 

Indicn meerdcre gebruikers toegang 
willen tot dezelfde gegevens, blijft 
alleen het gebruik van een shared^ 
bestandssysteem over. V(H)r zuivere 
Mac-intoshomgevingen heeft Apple het 
bestandssysteem Xsan op de markt 
gebracht. Overigens onderstcunL Xsan 
uitsluilend de Xserve RAID's van Apple 
zelf. Maar omdat Xsan gebaseerd is op 


het door Adic ontwikkelde StorNext- 
bestandssysteem voor Unix- en Win- 
dows-omgevingen cn daardo[)r compati- 
bel is met alle StorNext-software, kun je 
door het combineren van Xsan en Stor¬ 
Next een heel ct>mputeipEirk, beslaandc 
nit Mac OS-, Unix- en Windows-com- 
puters, via een gemeenschappelijk 
bestandssysteem in een hctcrogecn SAN 
van gegevens gebruik laten maken. 

In tegenstelling tot een puiir cluster- 
gebaseerd bestandssysteem, zoals GFS 
(Globai Filesystem) of DFS (Distributed 
FS), waarbij meestal alle deelnemende 
werkstations gezamenlijk hcl bestands¬ 
systeem be hemn, m oet een shared- 
bestandssysteem ook onafliankelijk van 
clkmx werkende clients bedienen. Daar- 
tex: gebmikt het meestal een centraal 
systeem of een centrale beheerinstance. 
Als die ondcr Mac OS X draatl, heb jc 
Xserve G5 of een Power Mac vanaf 
Dual G4 8(X) nodig, waarop Xsan versie 
1.0 of LI is gcVnsiallecrd cn als zogc- 
noemde controller fungeert. Op grond 
van de benodigde I/O-pjestatics woitU 
cchlcr cen G5 aiinbcvoiein 

Als Apple-clients komen Xserves en 
Power Mac’s met een G5 of een Dual 
Ci4 vanaf S(M) MHz, samcn met cen 
eveneens geTnstallecrd Xsan, in aanmer- 
king* Is ook StorNext FX gcYnstalleercl, 
dan krijgcn ook clients onder AIX, 
HPUX, Irix, Red Hat- en SiiSE-Linux, 
Solaris, Unicos/mp en Windows toe¬ 
gang tot het gemeenschappelijke 
bestandssysteem. 

Wanneer de controller onder het 
bcsluringssystccm van cen Unix- of 
Windows-server moet draaten, kun je op 
StorNext van Adic teniggrijpen. Boven- 
dien moet Apples Xsan op alle Mac’s en 
het StorNext-filesyslem op aUe andere 
clients geinstalleerd zijn. Helaas zijn 
nicl alk versies van Xsan en StorNext 
compatibel met elkaar* Dikwijls helpt 
liier alleen een update van het OS of de 
client, De huidige vcn^ics van Xsan zijn 
via software-updates verkrijgbaar en die 
van StorNext via een onderhoudscon- 
Iracl. 

Redundante koppeling 

Voor de overdracht van gegevens 
moeten alle deelnemende sy sic men, dal 
wil zeggen controllers, clients en disk- 
subsysteinen, via fibre channels (FC) 
met elkaar verbonden zijn. De volumes 
op de disksystemen zijn aan de control¬ 
ler Itxjgewezen; deze host het bestands¬ 
systeem. Dc sehrijf- en IcesUtegaog krt 
de gegevensbiokken geschieden echter 
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Xserve RAID Storage 


_E]Wnei-TCPyjP 
[Private] 

Bh^et-ICPyjP 
(Public) 


Introrref/lnternet 


Requests: Alle toegang gaat direct naar de disks, de clients vragen blj de con¬ 
trollers olleen de meta^mformolfe op (ofbeelding 1). 


direct vanaf de cltenis in hcl dLsksys- 
tecin. Allccn dc mctagegcvcns respec- 
licvclijk bestiindssysteemjnfomiaiie vra¬ 
gen de clients via ciiiemei bij dc control¬ 
ler up (lie ai'bcclding 1). 

Oni latentietijden en andere storingen 
in het voor iedereen toegankclijke 
bcdrijfsnciwcrk Lc ondervangen, wordt 
dringend aanbevolen om voor de nieta- 
gegevens mssen de clicius en dc control- 
ler cen apart geswiicht nciwerk in te j^et- 
tcn. Een lCK)base-T-ethemet leveit bier 
meestal mcer voordeel op dan cen Giga- 
bil-etitcmcl, omdat jumbti-frames en 
andere optimalisaties bij de overdrachl 
van tokens en kleine pakkcticn met 
metagegevens cerder storen. 

Aan dc SAN-zijde kan Adic vrijwel 
elk appaniiit bedienen. De LUN’s (D)gi- 
cal Unit Numbers) van dc storage sys¬ 
tems moeten in eerste instance FC-3- 
conform zijn* Het gebruik van iSCSI- 
LUN’s loopt echtcr altijd via iSCST-FC- 
bridges. Klcine ATA-opslagsysiemen 
kunnen al vee! bteden, soms m\h mccr 
dan ecu Xserve RAID. In piincipe on- 
dersLcunl StorNext de apptiraien van alle 
bekende fabrikanten, zoals EMC, HP, 
HDS en DDN. Eij multipaih-sortwaie is 
de officielc support tot nu toe een stuk 
minder* Wanneerechie actieve pt>ns bc- 
schikbaar zijn, regelL StorNext zelf de 
faikweren de ioiidbalancing. Replicaties 
zijn hier al moeilijker, Redundante 
LUN"s mogen voor StorNext niet zicht- 
baar zijn, anders zou StorNext ze voor 
de loadbalancing gebruiken. Afgczien 
daarvan worden cnkcl synehnine repli¬ 
caties imdcrsleund. 

Bovendien ondersteunt StorNext de 
switches en liBA’s van alle gnite fabri- 
kanlcn,z«als Brocade, McData, Qlogic, 
Fmulex en Cisco, tot nu toe echtcr 
alleen tot maximaal 2 Gbil/s. Het is te 
vcrwachten dat Adic de ondersteuning 
in de toekomst gaat beperken, om op die 


J?.TRACT 

• Indien verschillende clients in 
een SAN gegevens gemeen- 
schappelijk moefen gebruiken, 
heb je een shared-filesystem 
nodig, 

• Xsan van Apple en StorNext 
von Adic bn je combineren* 

• Alle gegevenstoegang gaat 
noar het disksysteem, de con¬ 
trollers leveren olleen m eta ge¬ 
gevens. 


» 4 


manier dc slabil licit le verhogen. Op 
beperk ingen stuit je hoofdzakelijk bij 
libraty's, aangezien de apparaatdrivers 
alleen in StorNext zijn geintegneerd om 
dc prestaties te optimal here n: buiten de 
Adic-eigen apparaten ondersteunt Slor- 
Nexl geseicctccrdc apparaten van STK, 
HPenlBM* 

StorNext en Xsan onderslcuncn 
alleen clicnFcluslcrs, geen controller- 
clusters. Door identieke configuratie van 
een tweede controller, waarvan dc file¬ 
system services cchtcr een andere priori- 
tcit hebben, kun je failover-configuraties 
instellen* Een filesystem draait altijd op 
slechts contndler: op de andeie con- 
imllerx is bet inactief. 

Wanneer gekoppelde clients en de 
failover-nodes dc aclicvc controller niet 
meer bereiken, controleer je dit via 
'voting’, Stenit de meerderheid voor de 
alternatieve controller, dan initialiseert 
deze de failover en neemt vervolgens de 
service voor zijn rekening. Failover-con¬ 
trollers iHoclcn steeds hclzelfde bestu- 
ringssystcem gebruiken, maiir mogen 
wel verschillende hardware bezitten. 
Om foulen lc vixrrkomcn, zijn maximaal 
twee coninillcm in een failover-verband 
toegestaan* Voor statistische loadbalan¬ 
cing moei altijd dc hcl ft van het be- 
stand-ssysleem op de ene en de andere 
helft op de andere controller draaien. 
Omdat zulke split-bmin consiellaties po- 
Icnliccl gcvaarlijk zijn, is daamaast het 
aankoppelen van power-switches ver- 
eist. 

Dc controller zelf heeft geen toegang 
tot het filesystem en mag ook geen 
andere services uitvocren. Dal geldt 
V(K>rdl vtHir high-performance requests. 


omdat de controller snel vertraagt dtxir 
andere taken. Indien deze met zijn gerin- 
ge metagegevens via hetzelfde pad ook 
andere gegevens zou aanspreken, dan 
leidl dat al snel Utl een bottleneck. 

Struikelblok: 

het besturingssysleem 

De clienl/scrvcr-software kun je in 
drie delen opsplitsen* Daartoe behoren 
beheertools en commando’s als 
Eike client heeft cen bestandssysteem- 
driver nodig voor cvfs (Adic) c.q* aefi 
(Apple)* Daarin is tevens de communi- 
calie-inlerfacc vtKir het opvragen van 
metagegevens geintegneerd. De compu¬ 
ters die een filesystem liosten - normaal 
gesprokeii 66n of mccr controllers - 
hebben de Filesystem Manager (FSM) 
nodig* Deze wordt bijgestaau dcxir de 
Filesystem Port Mapper (FSPM), die 
naar requests re,spectievelijk antwoorden 
luistert. 

AlJe communiealic is op tokens geba- 
seend en daanom lijdkritisch. Hike token 
bezit een tijdstempel* Als deze is afgelo- 
pen, bijvoorbecld t)mdat de systemen 
niet lijdgesynchroniseerd zijn, kan de 
transactie met wonden afgesloten* 

Voor de bcschikbaarstelling van de 
mcta-informalie zijn telkens weer de 
controllers voor meiagegevens veranl- 
woordelijk. Alles bij elkaar kan een con¬ 
troller of controllerpaar maximaal acht 
filesystems aanbieden, zowel actieve aJs 
passieve. De maxirnale eapaciteit be- 
draagl bij cen blokgrooEte van 512 KB 
op her ogenblik 2 PB. Daamaast beinv- 
loeden de blok- en I/0-grtM>tte de per- 
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Apple-netwerken 



De organisatie von de gegevens lean 
op directoryniveau aan de semce- 
kwaliteit van de gegevens worden 
aangepast (cifbeelding 2]^ 

formance van een be stand ssysteem* Een 
filesystem kan anticr/ijds nit meerdere 
LUN's besman en hel kan tlynamisch 
met extra LUN's worden uitgehreid, Het 
maximalc aanlal LUN's word! alleen 
door het besturingssysteem begicnsd: 64 
ondcr Windows en 2.^6 onder Linux en 
Unix. Hcl aanlal filesystems en control¬ 
lers waarvan een client zijn gegevens 
betrekt, is niet gelimiteerd, Ook hel 
maximale aanlal clients per filesysteni is 
niet beperkt. De grcx>tste timgeving die 
tot nu toe is getest bestond iiit meer clan 
honderd clients, die ulle tot een filesys¬ 
tem toegang hadden. 

Hcefl een client per FC geen toegang 
meer tot de LUN's respcctievelijk de 
volumes in het SAN, clan kan deze allijd 
nog de metagegevens opvragen zolang 
het filesystem gemount is, Wanneer 
twee clients tegelijkeitijd toegang zoc- 
ken lot een besland, moet je er zelf voor 
zorgen dat ze hcl hcsUind niet allebei 
overschrijven. Daarom zijn locks vcxir 
fdesystems absoluut noodzakelijk. In 
principe is welLswaar locking op blokni- 
veau mogelijk, zolang de applicatic dit 
maar ondersteuni cn niet meteen het 
helc bestand alsluiL Dc applicatie krijgt 
dan alleen toegang tot arzonderlijke 
blokkoii van het bestand en bewaart 
deze in een eigen lokale cache. Deson- 
danks kan het <x)k hier toi overlapping 
kornen. Bij atle compatibiliteit moet je 
niet vergeten dal de lx;sturingssystemen 
allemaal hun eigen finesses hebben, die 
vcK>r een ander al snel een struikelblok 
kunnen vonucn - je hoefl hier maar aan 
Samba te denken. Ixi in hcl bijzondcr 
op speciale tekens en de resourceforks 
van Apple. 

Beveiliging is geen optie 

In elk modern bestandssysteem zijn 
gebiuikersRichlen een must. Omdat 
onder StorNext en Xsan zich verschif 
Icnde besturingssystemen kunnen neste- 
len, mocl je hier nog veel voorzichtiger 


te werk gaan. In wezen heb jc met twee 
lagen te makeii: Windows gebmikt - 
NTFS vooropgcslcld - standaard ACL*s 
voor de toegangsrechten, Unix daancntc- 
gen gebruikt meestal nog de triplets, 
POSIX-conrormc ACL"s \oor Unix on- 
dersteiint StorNext momentccl niel. Om 
deze beide werelden toch in staat te stel- 
len gelijklijdig hitmen een bestandssys¬ 
teem te kunnen bestaan, ondersteuni het 
bcslandssysteem twee soorten rechten- 
strucluren tegelijk, e^n voor de ACL’s 
van Windows en een vcH>r de triplets 
van Unix - Om die twee in overeenslem- 
ming te brengen, biedl StorNext een 
gebruiken^mapping van Windows voor 
Unix en orngekeerd. Dcxir het gebmik 
van NlS-servers is de configuratie van 
die mappings overigens nogal lastig. In 
een latere versie zou dit verbeterd moe- 
len zijn dcx)r dc prcK:cdure als Single 
Sign-on in LDAP te inlcgreren. 

De toegangsbeperking voor hosts tol 
het shared-bestandssysteem bevordert 
de LUN-masking. Vrxir toegang tot de 
gegevens past Xsan van Apple per inge- 
stclde siculcl tevens een aiithenticatie 
toe. Zonder die authenlicatic word Je 
geen blik in het bestandssysteem 
gegund, om van dc gegevens nog maar 
te zwijgen. StorNext van Adic maakl 
pas na expliciete configuratie gebruik 
van zxfn conln)lc. 

Naast de optimal isatic van het file- 
sysleiti en de toegang sconl role speelt de 
kwaiiteil van dc services een belangrijke 
roL De betrouwbaarheid van de opslag 
draagl er in belangrijke mate aan bij dat 
er geen gegevens verloren gaan. Vaak 
worden voor verschillcnde toepassingen 
en de daarbij behorende gegevens 
hepaaldc scrviceniveau's, ook wel Ser¬ 
vice l-evel Agreements (SLA’s) 
genoemd, geeist. Om daaraan te vol- 
docn, kan StorNext de afzonderlijke 
directories in verschillcnde cipslagklas- 
sen indelen, bijvoorbeeid uitvalbeschcr- 
ming (RAID 1(», verwaarloosbaar 
(RAID 0), transactiegchasccrd (RAID 5) 
of transfergebaseerd (RAID 3), Gege¬ 
vens die cen gebmiker in een van die 
directory's opslaat, kornen autoinatisch 
op de daaman expliciet toegewezen op- 
siagFuimte tcrccht. Deze koppeling kun 
Je alleen verwijdeieri dtK>r cen nieuwe in 
te stellen. 

Incluslef drehiveren 

Als aanvulling op hel shared-filesys¬ 
tem kun Je met de StorNext Storage Ma¬ 
nager cen HSM {Hierarchical Storage 
Management) implementercn. In tegen- 


sLelling lot kJassieke llSM-systemen, 
waarbij alleen lokale gegevens van de 
HSM-fileservers voor sei|uenlielc op- 
slag worden gebruikt, bezit StorNext de 
capacilcit om alle gegevens van alle 
deelnemers in hex shared-filesysteni te 
beheren. Op dit moment onderstcunt 
StorNext maxiniaa! drie hierarchies 
niveaiis, tiers genoemd. Een mogelijke 
variant zou een sneile realtime opslag, 
een langzamere SATA-opslag en een 
tape library kunnen zijn. 

Voor het HSM kun je de regcis niet 
alleen per bestandssysteem,iiuiar ook op 
directoryniveau opstellen - net als bij de 
SLA's. Hierdoor kunnen de gegevens al 
naiir gelang hun SLA’s op verschillcnde 
opslagmcdia belanden. Maar dat is nog 
niet alles. In principe is StorNext zo 
ingesleld dal hel gegevens al enkele 
rninufen nadat cen gebruiker ze heeft 
gemaakt, of ze voor de laatste keer hcefl 
gcwijzigd, parallel naar maximaal vier 
opslagsystemen (library's of archief- 
niappen) doorsluist. In het geval dat in 
de primaire opslag gegevensverites 
optreedt, leidt dat zo geen catastrofe in, 
OTiidal de gegevens dan ook bijvoor¬ 
beeid nog op tape staan. Een tape is 
bovendien een sequentieel medium: een 
nieuwe versie van cen bestand /ill de 
oudere versie niel overschrijven. Door 
de vier verschillcnde doelen en de daar- 
door mogelijke ruimteltjke scheiding, is 
ook v(M)r gcvullen van ‘disaster recove¬ 
ry' gezorgd: het filesystem wordl in zijn 
structuur hersteld en dc gegevens bevin- 
den zieh nog veilig op tape tot iemand 
ze notiig lioefl. 

Conclusie 

Zoals blijkt uit het reclitenbeheer, 
hebben de rubrikanlcn nog hel een en 
ander te verbetenen. Toch bieden Slor- 
Ncxl en Xsan een shared-bestandssys¬ 
teem dat gekop[x:ld is aan hierarchisch 
storage management voor gemengde 
onigcvtngen en toepassingsgebieden, 
waarin je een dergelijke feature met de 
liLiidige middelen slechts gedccUelijk of 
hclemaal niet kunt irnplementeren. 
Daartoe bchoren webho.sting, de media- 
wereld, gespecialiseerde broadca.sls en 
postpnxiuclies alsmede wetenschap en 
onder/ock. 


TORBbN NEUKING 

is infcrmalicus en werkzaam ah semi- 
norleider en consultant op hel gebied 
von opslagmanogemenl. 


70 


iX V2im 
















RiPORTAGE 


Toegangsbeheer 


Risico door mobiele gegevensdrogers 

Binnenkruipend gevaar 



Andreas Salm 

Mobiel apparaaf aansluiten en beginnen 
maar. Voor sommigen is het een gemak, 
voor anderen onJaardt het in een nacht- 
merrie. Want diefstal van gegevens, be- 
smetting met wormen en dergelijke kun- 
nen de IT-omgeving van een bedrijf of 
instantie ernstig in gevaar brengen. Poli- 
tiek Den Haag kan erover meepraten. 
Speciale software moet hulp bieden. 



M obiele gegevensdragers ter 
grootte van een vinger kun- 
nen a I mccrdere gigabytes 
aan inftirmatie bevattcn. Als je ook 
nog rekening houdt nicl bun hoge 
gegevensd<H>rvocr en hun grote ver- 
spreiding, dan kunnen ze een ernstig 
gevaar betekenen voor de interne vei- 
ligheid van organisalies. Met bebulp 
van een kleine usb-stick kun je tegen- 
woorciig dure investeringen in de 
netwerkbeveiiiging gemak kelijk om- 
zeilen. De tmh die met besturingssys- 
temen worden meegeieverd, bieden in 
het beste gevaJ rudimentaire toegangs- 
bcvciliging - de beheerder is derhalve 
aangewezen op speciale software, 
Behalve mobiele gegcvenstjpslag zijn 
ook alle mobiele apparaten^ waarvan je 
rcchtstreeks informatie kan ophalen en 
die eenvoudig op de pc aangesloten en 
door het bcsluringssysteem geactiveerd 
worden, potentieel gevaarlijk, Een vetor- 
becld daar\'an zijn door gebruikers inge- 
stelde WLAN’s (via access points) of 


WLAN-PCMOA-kaarten, die directe 
toegang tot het interne netwerk mtigclijk 
maken, S lech is weinig bcdrijven treffen 
piLssende maatregelen tegen misbmik, 

Het risico beperkt zich niel allccn tot 
potentiele diefstal van vertrouwelijke of 
zelfs auteursrechtelijk beschermde 
infonmaiie, want met mobiele apparaien 
kun je ook willckcurigc gegevens in het 
interne netwerk plaatsen. Deze vorm 
van gegevensoverdracht is in principe 
nuttig en gewenst, maar hceft helaas 
ook ncgaticve bijwerkingen. Virussen 
of Tmjaanse paarden kunnen hierdoor 
vrjjwel ongemerkt binnendringen in het 
bedrij fs netwerk, 

Het gevaar hoeft niet eens van onte- 
vreden of criminele medewerkers nil te 
gaan. Ook t>nachtzaani handelende 
medewerkers met onvoldoende be veil i- 
gingsbewustzijn vormcn cen bedrei- 
ging, Dat bewees een kapttein van de 
iandmacht cerder dit ja^ir, toen hij een 
usb-stick met gebeime informaltc in 
een huuraulo achterliet. Thiiiscompu- 


lers worden doorgaans niet beheerd 
door een interne IT-afdeling, waiirdoor 
deze niet allijd up-to-date zijn wat 
beircfl patches, virusbescherming of 
spyware. In veei organ isaties is hei 
volstrekt nomiaal dat medewerkers 
vertrouwelijke documenten thuis 
bewerken en vervolgens weer op de be- 
drijfs-pc opslaan. 

Dc volgende vragen geven een eerste 
indruk van de potentiele gevaren - in 
bet bi jzonder wanneer op dc laaiste drie 
vragen geen bevredigend antwoord 
gegeven wordt: 

- Hoeveel mobiele gegevensdragers 
heeft de organisatie? 

- Wic gebrutken deze gegevensdragers 
en waarvoor? 

- Hoe zijn dc gegevens op deze gege¬ 
vensdragers beschemid in geval van 
verlies? 

- Wordt hci verlies van vertrouwelijke 
gegevens onderkend? 

- Hoe wordt het binnendringen van 
malware voorkomen? 
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Uk de onlangs door Ernst & Young 
gcpubliceerde studie, 'Global rnt'or- 
mntion Sccurily Survey 2005', btijkt 
dat er steeds meer aandacht koriil voor 
het ristco dal van mobiele of verwis- 
selbare gegevensdragers uitgaaL 
Regelgeving zoals Basel li, Sarbanes- 
Oxley (SOX) of de Health Insurance 
Porlahilily and Accountability Act 
(HJPAA), gaat nog ecn slapje verder. 
Die richtlijnen schrijven een bcpcrkle 
omgang niel verlrouwelijke en per- 
soonsgebonden gegevens voor en 
dwingen bedrijven hun veiligheids- 
maalregelen inzichlelijk te niaken. 

Dat iederecn op dc hoogte moet 
zijn van de risico's van onder mecr 
wctcnschappelijke spionage, blijkt uit 
een doorde Algemcnc Inlichtingen en 
VeiligheidsdiensE (AIVD) in 2tK)5 
gcpubliceerde brochure. Hierin stelt 
de AIVD dat hci van belang is dat 
medewerkers van overheidsinstcBin’ 
gen cn het bcdrijfsleven zich bewusi 
zijn van de bestaandc risico's van 
spioTiage, 

Usb-blokkering: 
alles of niets 

Het algemccn gebruikte besturings- 
systeem Windows brengt van huis uit 
nauwelijks beschermingsmogelijkhe- 
den mcl zich mee. Voor SP2 van 
Windows XP moesten bedrijven zich 
uitsiuitend behelpen mel drastischc 
maatregelen, zoals het deactiveren 
van usb-pooitcn in hel BIOS of het 
volledig verhieden van usb-opslagap- 
paraluur. In het eerste geval wordt 
tevens hel algcmene gebruik van deze 
aansluiting verhinderd, dus ook hel 
gebruik door de muis en het toetsen* 
bord. In veel bedrijven is het aanslui- 
ten van een PDA toegestaan, maar het 
aansluilen van een MP3-speler niet. 

In het tweede geval ontneemt men 
de betreffendc gebruikers en groepen 
hel rechl op toegang lot de bentKligde 
drivers op be stands systeeni niveau, 
Dat functioneert echtcr allccn zolang 
er nog geen usb-opslagapparatuur was 
gemstalleerd. is dat intussen we I 
gebeurd, dan moet de beheerdcr dc 
gebruiker het toegangsrecht ontnemen 
op de bestanden %S}\stemRoot%MnJ\ 
UxhsforJnf alsmede voor %SyStem- 
Root %\InJ\UshstOF .ptif. Voor be idc 
genoemde geval len gcldt dal centraai 
beheer nauwelijks mogelijk is. 

Pas vanaf SP2 ondersteuni Win¬ 
dows nog een bepcrkingsmogelijk- 
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held: de beheerder kan instcllcn dat 
de gebruiker uitsiuitend leestoegang 
tot usb-gegevensdragers krijgt. Deze 
maatregel beschermt je wcliswaar 
Icgen diefstal van gegevens, maar 
voorkoml nict dat vreemde software, 
roofkopieen, malware of pomografie 
binnendringen. 

Ben andcr nadeel van de Windows 
XP/SP2-beschermingsfealurcs is het 
systeemomvattende beheer en bijge- 
volg dc voor alle gebruikers geldende 
configuratie. Rollengcbaseerd beheer, 
uitzonderingen voor individuele per- 
sonen of zclfs uitzonderingen voor 
afzonderlijke apparaten, zijn niet 
mogelijk. Door alle uitzonderingen 
verwordt hel beheer al snel tot een 
hels karwei, zodat hel sicchls een 
kweslie van tijd is voordat de beveili’ 
ging op gnind van de gebrekkige 
praktische toepasbaarheid en accepta- 
tie het loodje legt. Dit geldt ook voor 
het uitgangspunt om het toegangsbe- 
heer via gebruiksrcchtcn voor het 
besiandssysteem te regelen. 

Ingangen te kust 
en te keur 

De beveiligingsrisico's beperken 
zich echter niet alleen lot usb-poor- 
len, maar tot alle externe aansluitin- 
gen van de pc die gegevensover- 
dracht toestaan. Dc label 'Externe 
aansluitingen' op de volgende pagina 
gccfl een overzicht van aansluitingen 
en de typisch daarhij horende appara¬ 
ten. 

Door gebruik te maken van een 
groepsrichtlijnenubjccl (GPO) maakt 
Windows ook centraai beheer moge¬ 
lijk voor andere aansluitingen dan 
usb. Weliswaar biedt hel beslurings- 
systeem van huis uit geen insielmo- 
gelijkheden voor het deactiveren van 
mobiele gegevensdragers, maar het 
ondersteunt door uilbreidbare behccr- 
sjahloncn (ADM-iempIates) wel de 
controie over hel gebruik van afzon¬ 
derlijke apparaten. Dankzi j deze tem¬ 
plates kan dc beheerder hel laden van 
drivers en dus ook dc toegang tot 
apparaten, zoals cd-rom's, dvd's, flop¬ 
py’s of zip-drives, systeem- en 
gebniikersgebaseerd regelen, of be¬ 
perken tot uitsiuitend leesrechtetL 

Heel anders gaat het met apparaten 
waarvoor je naderhand geen drivers 
hoeft te laden. Over zulke apparaicn 
heefl de beheerder ook geen controie 
via GPO's. Het beircfl bijvoorbeeld 


Ji^-TRACT 

• Mobiele apparaten met 
steeds grotere opslogcapa- 
citeiten zijn gevoarlijk: 
nalatige of zelfs kwoodwil- 
iende medewerkers kunnen 
hiermee gegevens uit het 
bedriff naar buiten of 
schodelijke code naar bin- 
nen halert. 

G Windows nocb ctndere be- 
stufingssystemen beschikken 
standaard over hulpmidde- 
len voor een toereikende en 
centraol beheerbare toe- 
gangsbescherming. 

G Naast hef nemen von tech- 
nische maatregelen moet je 
de bewuslwording van ge¬ 
bruikers van mobiele appa- 
raten niet vergeten, want 
elk bedrijf wil van de voor- 
delen van dergelijke appa- 
roten proFlteren. 


de koppcling van notebooks via infra- 
roodaansluitingen of de koppcling 
van apparaten via de parallelle inter¬ 
face. Bovendien kunnen slimme 
gebruikers beperkingen van dc GPO's 
vaak zodanig omzeilen dal ze het 
betreffendc apparaat al tijdens de 
bool procedure met de computer ver- 
binder!. Eventuele beperkingen zijn 
op dat moment namelijk nog niet gel- 
dig, zodat je het apparaat na aanslui- 
ling onbeperkt kunt gebruiken. 

Aan de cue kant is een uitgebreide- 
re en betrouwbaardcrc beschenriing 
van mobiele apparaten en gegevens¬ 
dragers ncKidzakelijk en aan de ande¬ 
re kant moet het mogelijk zijn gericht 
uitzonderingen te kunnen vaslleggcn. 
Hel is niel voldoende voor alle appa- 
raten aileen onderscheid te niaken 
lussen de lees- en schrijftocgang. De 
cis om bcpaalde apparaten afzonder- 
lijk te kunnen behcren, toont de gren- 
zen aan van het groepsrichtlijnenob- 
jeci, Bovendien gelden ze alleen voor 
de Verkenner. Wanneer een toepas¬ 
sing de Verkenner niet als shell 
gebruiki, omzeill hij daarmee de via 
GPO'S ingesteldc beperkingen. 
Wanneer het gaat om afzonderlijke 
verwissclbare media zoals een specia- 
le installatie-cd, die systeem- of 
zelfs persoonsgericht moet worden 
bcheerd, zijn speciale oplossingcn 
vereist, 

ix 3/2006 










En hoe zit dot 


de bewezen en die mclhcKle vormt ook 
dc basis voor erkende beveiligings- 
standaarden. 


met Linux? 

Andere besttiringssystenien zoab 
Linux en overige Unix-derivaten zijn 
vour alle genoemde risico's vooials- 
nog veel minder vatbaar. WeJiswaar 
ondersteuiien ze intussen eveneens 
uitgebreide plug-and-play-functies, 
maar door de strikte sclieiding van 
systeemactiviteiten bieden ze extra 
bescherming. Zo kan de veiligheid 
van een systeem aanmerkelijk wor- 
den verhoogd wanneer dc gebruiker 
niet in siaal is zeirstandig bestands- 
sysLcmen te installeren* De toegang 
tot usb-opslaggeheugen ol cd-rom's is 
dan feitelijk aan banden gelegd, 
zolang de service Automount niel is 
geconfigureerd. 

Wanneer under een Unix-geba- 
seerd systeem meet gebruikersafhan- 
kelijke toegang tot mobiele gegevens- 
dragers en wissclbestanden vereist is, 
kun jc dc toegang beheren in bet ven^ 
ster voor bestandssystccmrcchten. 
Zodra de gebruiker een dergelijk 
apparaat aan een systeem aansluit, 
wordt het autornatisch gekoppeld. 
Via voorgedcrinicerdc Access Con¬ 
trol Lists (ACL’s) van aanwezige 
gebruikers en groepen kan dc bchccr- 
der de toegang rcgelcn, 

Dc/c instellingen zijn echter net 
als de gebruiksrechten ondcr het 
W i ndows-be stand ss y s tec m s y stee m- 
gerelaleerd. Een centraal, systeem- 
overkoepelend beheer van alle aan- 
sluitingen en verwisselbarc media is 
under Unix-systemen nauwelijks te 
rcaliscren. Vanwege het geringe aan- 
tal eindapparaten voor Unix-geba- 
seerde systemcn, bestaat tot nu toe 
nauwelijks behoefte aan zulkc oplos- 
singen* Dit verklaart ook waarom 
zulke producten op dc markt ontbre- 
kcn. Op serversystemen meet het 
gebruik van mobiele gegevensdragers 
en verwisseJbare media in prtneipe 
beperkL wurden tot absoluut tioodza- 
kelijke gevallen, 

Oni je effectief te beschermen tegen 
dc gevaren van mobtele gegevensdra- 
gers, moet je de gebruikersvricndelijk- 
heid als uitgangspunt ncmen. Com- 
plcxe tcchnische oplossingeii die de 
gebruikers niet accepteren, zijn uilcin- 
delijk zinloos. Hcl aangrijpen van 
techn ische beschermi ngsmaatregelen 
h<M>rt de laatste stap in een hele reeks 
van maatregelen le zijn. In de praktijk 
heeft een top-down methode zijn waar- 


Documenteren wat 
verboden en wat 
toegestaan is 

AUereerst moet je het gevaar bin- 
nen een organisalie vasLstellen* Het 
management moet de bestaande risi- 
co's kennen, accepteren en deze als 
zodanig aan de medeworkers over- 
brengeit Dit uitgangspunt client de 
persoon die verantwoordelijk is voor 
de veiligheid* in een hcldcrc hande- 
liiigsinstruclic of interne richtlijn 
(bcicid) te documenteren* In deze 
richtlijn moet de toegeslanc omgang 
met verwisselbarc en mobiele gege- 
vensdragers afgekaderd zijn* Ook de 
regels en consequentics bij overtre- 
ding moeten hicrin vastgelegd zijn* 
Verder moeten de maatregelen voor de 
implementatie samen met dc verant- 
woordeiijken eveneens schriftelijk 
worden vastgelegd* 

Naast techiiische conlndc- en be- 
wakingsmogelijkhcdcn is hewustwor- 
ding van medewerkers door middel 
van scholing een goede beschermi ngs- 
maatregeL Dal geldl voor zowel inter' 
nc*extcmc als free I a nee-medewerkers, 
alsmede leidinggevenden. 

Na deze maatregelen is het ten slot- 
te raadzaam om techn ische bescher- 
ming' en controlevoorzieningcn tc 
treffen* De afgclopcn jaren zijn er veel 
producten en op loss ingen op de markt 
gckomcn. Het aan bod beval software 
voor toegangscontrolc op cen of meer 


compuleraaiisluitingen, rcspectievelijk 
op hun apparaten en verwisselbare 
media* ciyptograftsche oplossingen die 
gedeeltelijk overlappen met he! gebied 
van Digital Rights Management 
(DRM) en producten die beide in zich 
vereiiigen* 

In het uitgebreide marktoverzicht 
(zte label ’Centrale Eoegangsbe*scher- 
ming voor **.') staan sLandalone-pro- 
ducten voor het beveiligen van de 
meest gangbare aansluitingen. Hicr- 
mee kuiinen degenen die voor het sys- 
teeni verantwoordelijk zijn* de toe¬ 
gang tot die aansluitingen centraal 
bewaken en beperken. Cicrclateerde 
oplossingen* zoals productsuites 
w a ar i n o veree n ko Jii s t i ge be s c tier- 
mi ngsfuncties geintegreerd zijn* pure 
usb-blockcrs* of uitsluitend crypto- 
granschc of DRM-oplossingen bev in- 
den zieh als aanvulling in hel kader 
'Gerelateerdc producten*. 

Software die de toegang tot de aan- 
sluitingeii en de daaraan gckiippelde 
apparaten control cert, hied! een goede 
basisbescherming* In de mecste geval- 
len gaal het om lie hie* goedkope 
oplossingen, die het risico op diefstal 
van gegevens evenals het binnendrin- 
gen van malware duidelijk vermindc- 
ren door de kring van legitieme 
gebruikers, eindsystemen en mobiele 
apparaten binnen de perken tc houden* 
Overigens bieden producten die zich 
tot tocgangsbescherming beperken* 
geen effectieve bescherming van 
gegevens in hel geval van veriies van 
een gegevensdrager. Dit probleem kun 
je door versleuteling opiossen, maar 
dat bescherini weer niet icgcn malwa¬ 
re cii dergclijkc* Een combinatie van 
tocgangsbescherming en versleuteling 
lijkt daarom de beste oplossing* 


GERELATEERDE PRODUCTEN 


Fahriknnt 

pure uslHnterfaceblocktrs 

product 

URL 

m GmbH 

USMbekm PLUS 

www.iish-bllQckef.cnm/ 


i;scQn 

wwwdynncomm.ws/ 

purt vvrfleutelmgs* of DRM-produnon 


Entfus) 

Eiitel]ig&iKi Madiu Secufily 

www.entrusf.com 

BeCjypr 

Dma Protect 

www.becrypt.cQtn 

Pointses, 

Encryption 

www.paintsec,com 

Liquid IMatbines 

Entoipii^ Rights Mancgemeni 

www.lkpfldmochires.com 

Dedflnt 

Mobile Guoidion 

www.aedorti.cenri 


Content FnerypTmn 

www.siifeboot.cotn 

Utirnoco 

SofeGuard Easy 

www.ufimwo.de 

WinMagic 

SecureOoc 

WWW winmagk.com 

lomplexe proditUstiiles fnduiiel tfrogofigsliesdifirnting 


WcAtee 

ErilerfS|]t 

www.mcdet-com 

Websense 

Enterprise Client Policy Monoger 

www.webser^.cQtr 

Sy^efs 

Enterprise Protection 

www.sy goto, com 

HPj 

ProiecfTools 

WWW.hpCCMtl 

UTfm{ico 

SofoGuoid Advonced Security 

www.uTimQCo.do 

Senbee 

Endpoint Secuilty Suite 

www.ssoftrrro.tum 
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REPORTAGE 


Toegangsbeheer 


EXTERN! INTERFACES 


Aansluiting 

USB 

Vmmfi (lEE !3?4) 

IDE 

SATA 

COM 

Apparuflt 

MPSspekn 

UsMiordd^ 

DIgitale camera’s 

PDA's 

Harddisks 

flffltidfirs 

NdriJdisks 

Bfoad&rs (cd/dvtkom) 

Diskatt^slotlons 

Norddish 

Brondsrs 

Moderns 

m 

Pdrriets 


d?4nm 


BlustQollt 

PS/2 

Nordwore Keyl[>gger 

PCMCIA 

ISDFi 


Blueloolli 


Compoci flasii 

m 

PDA's 


Mabiele tfllefcDrEs 

m\ 



Integratie in systeem- 
omgeving 

Om een product te vindca dal 
gcschikl is voor jouw systeemomge’ 
ving, moetca clc bijbchorende eisen 


hcldcr zijn* Het cent rale beheer en de 
integratie in de aanwezige systeemom- 
geving zijn twee van de hcnddcrileria* 
Om te beginnen moet je nagaan of en 
hoe hel product past in een reeds aan¬ 
wezige directory service, zoals de 
Microsoft Active Directory Service 
(ADS). De synergie-effecten daarvan 
verlagen de administratieve romp- 
slomp en vergemakkelijken het dage- 
lijkse werk van de systeembeheerder. 
In deze samenhang dringen zich echter 
ook vragen op over dislribulie en 
onderhoud van de software voor 
client-agents op de pc's* Veel produc- 
len zorgen niet aileeii voor integratie 
in directory services, maar installeren 
him eigen software voor centraal 
management, 

Andcre beslissingscriteria voor de 
inzef van zulkc produeleil zijn aantal 
en aard van de ondersteundc aanslui- 
tingen en de bcheermogelijkheden van 
aange^sloten apparaten* Ben overzicht 
van de te beschermen interraces mt>ct 
dec! uitmaken van bet genoemde 
beveiligingseonccpL Net lo belangrijk 
als de regefs zijn echter ook de uilzon- 
dcringen. Ook die moeten door de 
beheerder nauwgezct in kaart worden 


gcbracht. Bij iisb-geheugensticks kan 
hij bijvoorbccld bcpaleii dat sommige 
gebruikers weliswaar gegevens van 
kanUxir-pc's niogen overzetten, maar 
alleen als pdf* Dil verkleinl ten eerste 
het risico van virusverspreiding en 
verhindert ten tweede de expt^rl van 
elk andcr ongewenst formaat, zoals 
afbeefdingen of databascformaiem 

Indien een product geen effeciicvc 
herkenning van gegevenslypen biedt, 
kun je als altematief dc groolie van de 
gegevensbestanden tot een paar mega¬ 
byte beperken om alsnog een effectie- 
ve beschermlng tegen diefstal van 
gegevens te krijgen, r,os van dc con¬ 
crete vereisten moet bet beheer van 
rechten en privileges roHengebaseerd 
voor bepaalde gebruikersgroepen of 
individuele gebruikers kunnen plaats- 
vinden. In afzondcriijkc gevallen kan 
het bovendien zinvol zijn om sys- 
leemgebascerde configuraiies bi jvoor- 
beeld op servers of miillimediasyste- 
men zoals internet- of brand-pc's door 
tc vocren, 

Om dc gegcvcnsbeveiliging ook te 
garanderen op mobicle gegevensdra- 
gers die uiieraard can boger vcrlicsri- 
sico hebben, is het een voordeel als 


Centrale toegangsbescherming voor mobiele opporoten 

FaManI 

Centennial Software Lid. 

Cenrerlool^ SoFrwuFe OmbK 

fullArmor 

ItWotcb GirtbH 

KRUEGER Consulting GmbH 

Wcbsile 

www.centennittl^oflware .cchti 

www.drivelock.nl 

www.ftillmmor.com 

www.itWokb.info 

www.lbktuegerie/in[lfl)Lphp?id=?B L=^2 

E-mail 

emeti^centen ninkoltwore.corn 

MtberlQnds@ubrufllobd,com 

infe#fullarmcir.toni 

DnvkeWQich#iiWQtdi.de 

info/i^hkrirager.de 

Product 

DpvkeWoll 3.1 

DrrveLotk 

ImelliPollqf for Clients l.S 

DevtceWatdi 

USBGUARD Basic / Enterprise Eifit 

Prijsvoorbeeld 

£0. € 20 / gBbfUFbr 

or. € 25 / gEhridker, plus € 20 / ta € 6 / Client 

cn. € 2,5 / difluf 

€ 0 . € 8 / ClienI Boik end 



gebfuiker voor versleutelin^ 



€ 12 / diwt Entsrprisfl Eddion 

FeolBces 






Centraal beheer 



V" 


'/ 

OndeFsteunda dlrenory services 

Active DicertarY 

Active Dtreawy, Novell NDS, IDAP 

Active Directory 

Active DiTscrory, Novell OS 

Active Oireclory 

Rollenrnadel 




v' 


nidyesiuUFde ioegong 

v/ 


v/ 

s/ 


Onderstermmg voor UDnslurtingon 






lOE, SATA, SCSI, fCMOA, Coirpotl Flash, v^/-/-/v^/-/ 



Alla ponsluitFnpn. oonpossing 

vZ/^/y^/-/-/ 1 

Pwfeils poott, setieel. F52, ttsb, Fhewits, 


%//»// 

bij de klnnt 

-/^/-/^/W 

IrOa, Bliictocrtr, WiFi 


vlvf- 



-hh 

AppalaoTUassefHvhFl^/blatkl^s^ 

>/ 





(Printer Smar^hones, MP^spelers, etc.) 





App.^hit^AiatWiit (ofiond. opp.) 


>/ 


s/ 


Wo^wfiite^/blocklist (dvd, td, fbp, etc.) 

- 

- 

v' 



Bepsfkiiig von bestmdstypen 

- 

bestondsurtbreiding 

y" 


-- 

Beperking vun volume 

- 


- 


- 

Offlinemodus 


- 


v/ 


Tronsparonfie wjof gebraiker 

fonfigureerbaaF 

conligureefboar 

transporant 

v' 

tronspnrant 

ConiTole van k gegeMasoverdrochf 


vZ 

- 


- 

Vcisbtding 

- 


- 

✓ 

- 

Reporting 

gebruHtS', gegevtnstransfwv 

moniforing 

Microsoft Bmirp Polity Repcifs 

mpnitormg, DBAnolysen 

monitonng, gebmiksrapporlen 


privilegfrrapporlen 





Ondersteunde servefpbHairrkS 

Control Center, Mkroseft Windows 

KcponingCenter, VWitdows 2000/5003 a.v.t. 

optaid wrIlclicufiQe SQL-dotnbose Microsolt Windows 2000 Server 


iOOO/twOJ/XPj Its 




xn / winnows !iervef / 






NET Fmmewark 1.1 

OndeFsIeuride tobii 

bebeer fagels, meirfingen 

Du., Eng,, Fr„, Ned., 5p. 


Du., Eng. 

Dtf„ Er>0. ' 


tonfigureerbaflf 





Overige features / Blizonderbcttcn 

gebTUikergerdoteefd, systeemonaf' 

statiDuietlerreserv.; veilig wissen; 

gebraiksfv toepossing- oliook 

gedeelleliike vrijgove op nvediani- mediovrijgnve met Enlerprise- 


hortkeliik rechlenmodel: iiieuwe sys^ beveliiging van de veiUge modus 

systnemgerelameFd rechten 

veou. Integratie in Irvoli en HP 

lirenlie; certtmui licentiebelieeF 


temeii worden lol m ptogiomiira 


model 

Open View; ^MF-andersteunkvg; 



^vering eerst gefabkkeerd 



Slotiof^leifeaeservering 


meegefevord / aarrwszig 

niot meogeleverd / nIet anrtweag 


g.o. = geen opgove 
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het product vcrslcutclmg ondersteunt. 
Jc mi)ct cr dan wei rekeniog mee hou- 
den dal je de versleuteldc gegevens op 
eeti andcrc cumpuier zonder bijbcho- 
rcnde clientsoftware niet alfijd kuni 
lezen. Veel producten beschikken 
over dc optic om gcgcvcns me( eert 
vrij vcrkrijgbare viewer-applicatie, of 
cen self-extracting archive met ccn 
wachtwoord, Ic onlslcutclcn. Oin de 
vcTsIcuteling van gegevens op mobie- 
le gegevensdragers tc waarborgen, is 
hei aan tc radcn dczc versleyleling bij 
dc ovcrdracht af te dwingen. Deze 
methode kan transparani op de achlcr- 
grond of via interactic van dc gchrui- 
kcr plaatsvindcn. 

Offline regelingen voor 
noodgevallen 

Indien de organisatie veel medewer- 
kers in dc buitcndicnsl hceft, moct je 
con irolercn of u t tzonderi ngsregels 
ook mogelijk zijn wanneer de notebook 
niet op her intenie tietwcrk is aangeslo- 
ten. Bijvoorbceld wanneer een verkoop- 
tnedewerker een cd-roni bij kianten 


moet inlezen, hetgeen onder normalc 
oinsiandighedcn niel gewenst is* Veel 
fabrikanten hebben voor ziilke sitiiaties 
gedacht aan offlinc-viMir/icningen, die 
tijdelijke ui tzonderi ngsregels toestaan. 

Ook de hoe veel be id beri elite nver- 
kcer kan een belangrijk crilerium zijn. 
Producten die al in slaai zijn berichten 
volgcns bi jvoorbeeld Basel JI of Sarba- 
nes-Oxley te vervaardigen, vergemak- 
kelijken hel werk van revrsoren en 
beheerders. Hierdoor dragen deze pro¬ 
ducten bij aan hel verminderen van dc 
kosten van bcdrijfsvocnng* Onafhan- 
keliJk daarvan kun je probereti of inte- 
gratie in een aanweztg monitoring-fra¬ 
mework mogelijk is. 

Na het selecteren van een geschikt 
product sta je vaak vtxir het problecm 
dat onbekend is hoc veel mohiele appa- 
raten er in hel bedrijf aanwezig zijn en 
dat ook bet doel van hun inzet onbekend 
is* Daarom moet jc bier van eerst een 
overzicht krijgen voordat je het 
gebruik beperkt. Veel producten bieden 
hiertoe een audit-modus aan, Deze 
modus leverl eerst informatie over 
welke appaiaten vanuit welke machine 
worden gebmikt. Vcxir een deel kan de 
behcctxlcr zelfs geanonimiseerde statis- 


tieken over bet gedrag van gebruikers 
vcrkrijgen. Daaruit kun je al snel opma- 
ken ofde aangenomen richtlijnen en het 
beveiligingsconccpt praktisch in/etbaar 
zijn* of dal je naar een eompromis moet 
zoeken. In hel laatste geval zijn de erva- 
ringen uit de audit-modus nuttig viior de 
verdere ontwikkeling van de beveili- 
gingspolitick cn het veiligheidsconcept. 

Sameiivattend kun je constateren dal 
je een werkzame bescherming van 
venrouwelijke dcKiimenten cn bet ver- 
hinderen van malware en ongewenste 
gegevens op bedrijfs-pc's zonder ge- 
schiktc software van derden slechts met 
grote inspanning en ook dan inecstal 
nog onvoldoende, kunt rcali,sereii. Toch 
rTHx:t jc de men sen niet vergeten* Daar 
hel gebruik ei'van zeker zijn vtKirdclen 
heeft* zijn mobieie gegevcnsdnigers ver- 
moedelijk in geen enkel bedrijf volledig 
vertxxlen. Vandaar dat hel bewusl 
maken van medewerkers v(Kir dreigen- 
de gevaren absoluut ncKHlzakelijk is* 
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Netwerktools 


Nmap 4: Nieuwe versie van netwerkscanner 

N etwerk-na vigatie 


Ralf Spenneberg 



Voor administrators en 
penetratietesters is Nmap 
al heel wat jaren de 
portscanner bij uitstek. 
Onlangs bracht auteur 
Fyodor een nieuwe major- 
release met versienummer 4 
uit. De features die de 
afgelopen maanden zijn 
toegevoegd moeten dus 
groter dan gebruikelijk zijn. 
Reden voor iX om Nmap 4 
eens nader te bekijken. 


O m ccn overzicht van een net- 
werk te krijgcn maken bchcer- 
ders regel mat ig gebruik van 
icK)ls als Nmap. Z4> kun je met nmap 
!0J0J923-45J7i~254 mcl zien 
welke systemen in bepaalde (decl-)ncl- 
wcrken online zijn en op welke poor- 
ten zij diensten aanbiedcn. Om dezelf- 
de reden maken ook penetratietesters 
bij dc eerste stap graag gebruik van 
Nmap. 

Nmap zag het levenslicht in nitgave 
51 van het online hackermagazine 
Phrack in September 1997 (zie 'bron- 
nen'). De tool ontwikkelde zich al snei 
tot dc de facto stand aard voor net werk- 
scanners. Het programma is dan ook 
verpUchte kost voor elke sericuze 
administrator, De voormalige open- 
source vulnerability scanner Nessus 
heeft een plug-in waarmee je een paar 
van de meest geavanceerde feamres 


van Nmap als portscanner kunt gebrui- 
ken. Ondanks de capaciteiten van deze 
iwls is bet belangrijk dat je beseft dat 
kennis van de gebruikte systemen en 
diensten een basisvereiste blijft vm)r 
een gefundeende veiligheidsanalyse. 

Van alle markten thuis 

Nmap is het meest hekend vanwege 
zijn capaciteiten als tep- en ndp-port- 
scanner, Het programma kan worden 
ingezet op zowel Unix- (Linux, Sola¬ 
ris, diverse BSD's en Mac OS X) als 
Windows'-systemen, Met name Win- 
dows-beheerders zullen blij zijn dat cr 
sinds kort een Windows-installer be- 
schikbaar is met de WinPeap-driver, 
zodat je deze niet apart hoefi ic down- 
loadcn en instaileren. Hierdoor doet 
Nmap het cxik weer onder Windows 


XP, dat sinds Service Pack 2 het ge¬ 
bruik van raw sockets verhinderde, Als 
portscanner laat Nmap weten welke 
poorten er op een of mcerdene pc’s 
open zijn en of een Hrewall deze poor- 
ten beschermt. Ontdekt Nmap tenmin- 
ste een open en een gcslotcn poort op 
het gescande systeem, dan kan het met 
dc optic -O het bcsluringssysteem op 
dit systeem vasts te lien, 

Alleen al hiervoor is het de mt^ite 
waard om een update naar versie 4 nit 
te voeren, want in September 2CI05 
hebben de ontwikkelaars meer dan 350 
nictiwc OS-signatures (’fingerprints') 
aan de database toegevoegd, Verder 
schreven ze de portscancode wat om, 
zcxlat hel pmgramma sneller is en min¬ 
der werkgeheugen gebruikt dan zijn 
voorganger. Met behnip van een dnik 
op de knop kun je trouwens zien htic 
lang de portscan ntjg duurl, 3'ijdens de 
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scan kun jc clot)r midtlcl van v/V aan- 
geven of hct program tna heeJ veel 
informatie moeten terugkoppelen of 
juist nict, terwijl je mei d/D hct debug- 
ging-level inslelL Met p/P zet je 
’packet tracing' aan of uit. Met ? krijg 
je een overzicht van de bcschikbare 
opties. 

Niet alleen porlscans 

Naast eenvoudige porlscans ondcr- 
steunt Nmap met -sO ook al geruime 
tijd zogenaamde protocol scans. Iloe- 
wel de mogelijklieden daarvan dt>or 
veel adininstralors t)ndcrschal worden, 
kun je daarmee bijvoorbeeld een VPN- 
gateway herkennen dot)rdal cr gchruik 
wordt gemaakt van de protocol ten ESP 
cn AH, In listing I zie je daarvan een 
voorbeeld. 

Speciaal voor gebrutk in gesloten 
LAN's heeft Fyodor, de grondlegger 
van Nmap, de ARP-scan ontwikkcld. 
Nmap gebruikl daarbij een ARP- 
broadcast om vast tc stellen of een 
ip-adres in gebruik is. Komi cr een ant- 
woord dan hoefl hct programma geen 
extra ICMP-pakketten meet te sturen. 
Dit is een veel sncllere en onopvallcn- 
dere manier van scannen dan een ping. 


Broil lien 

amop wwwjhc^Ofg/thccmpp/ 
nfflop WWW.Insecure.org 

Pbrack 51 www.phrock.org/pbfoclc/ 
51/P5M1 

Phrock 60 www.pbfacLorg/phrock/ 60 / 
p 60 - 0 x 0 c.txr 

^-waardering 

® snelle en grondige netwerksenns 

© veel nieuwB sconopHes 

© geen gecsvanceerde functies voor 
Windows 


Penetraiietesters zuJIen blij zijn met de 
mogelijkhcid om MAC-adressen te 
sp<Kden tijdens diverse scans inclusief 
de ARP-scan, 

Een andere intcressante optie voor 
penetraiietesters is de optie —hadmm. 
Hiermee generceri Nmap foutieve 
checksums vtK>r verstuurde pakketten, 
De meeste netwerks tacks verwerpen 
zulke pakketten. Uilgeloktc rcactics 
moeten daardt>or we I afkomstig zijn 
van firewalls of Intrusion-Detection- 
Systemen, omdat deze veelai niet naar 
checksums kijkcn. Een artikel in uitga- 
vc 6() van Phrack (zie bronnen) laal 
zien hoe deze tech nick precics werkt. 

Look who's talkin' 

De hclangrijkste wijzigingen heb- 
ben echter te maken met de herkenning 
van services. Sinds medio 2003 (3.40) 
is Nmap - net als zijn minder bekende 
collega (imap - in slaal om tc bcpalen 
we Ike service cr op ceti openstaande 
pot>rt draait, Deze functie is sindsdien 
rcgelmatig be werkt en verbelerd. De 
database beval inmiddels meer dan 
3150 signatures voor ruim 380 proto¬ 
col ten, Zoals in bet screenshot rcchLs- 
onder te zien is, kan Nmap zelfs SSL- 
dienslcn herkennen. In bet screenshot 
zie je meteen ook het 
grafische front-end van 
Nmap, dal Je kunt instal- 
Icren als de command 
line te verwarrend viior 
je is. 

Ook toekomstige ver- 
sies van Nmap bevatten 
verbeterde functies. Mo- 
menteel wordt gewerkt 
aan een nieuwe imple- 
menlalic van de (XS-her- 
kenning, zodat Nmap 
veel van de tot nu toe 
niet gebruikLe details van 
de TCP-IP-protocolfami- 
lie opeens wel kan 
gebruiken. Maar vt>ordat 
de nieuwe code praktisch 


toepasbaar is, moelcn dc ontwikkelaars 
eerst de OS-database opnteiiw vuilen, 
De oude Is inmiddels zeven jaar oud en 
bevat 1600 verschillende 'systemen'. 
De nieuwe code kan zelfs Windows 
2l)(KI en XP uit elkaar houden en dc 
OS-herkenning op mccrdcrc systemen 
tegelijk uitvtx^ren. De huidige versie 
kan dit nog niet. 

llelaas ondcrsteunl dc Windows- 
versic nog niet allc functies, bovendien 
zijn de scans trager, De ondersteuning 
voor IPv6 en en herkenning van SSL- 
diensten zijn ook nog steeds aan Unix- 
beheerders voorbehouden. 

Conclusie 

Als jc in het verleden al eens 
gebruik maakte van Nmap, maar dc 
recente ontwikkel ingen nict op dc voet 
liebl gevolgd, zul jc vcrsteld staan van 
de hoeveelheid nieuwe functies cn de 
toegenomen snelheid en nauwkeurig' 
held van de OS- en versieherkenning, 
Eicn update naar de nieuwe versie heeft 
zeker zin, Dani^bij moet je als bchcer- 
der wel even beslissen of je Nmap zelf 
compileert of de installer van dc web¬ 
site haalt, E>eze laatstc beval namelijk 
geen ondersteuning voor de herken¬ 
ning van SSL-diensten, 
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RiPOIITAGE 


Spraaksystemen 


Hoe geavanceerd zijn spraaksystemen nou echt? 

Vergeten wereld 



Daniel Koch 

Rond de laatste eeuwwisseling waren spraaktoepassingen 
een hype. Nu is het geraas verstomd, maar ontwikkelaars van 
standaarden en software hebben sindsdien niet stilgezeten. 


H oe groot de hype rond spraak- 
tocpassingen in 1999 en 20(K) 
ook was, tegcnwoordig hoor je 
er nauwelijks nog iets over. De opwin¬ 
ding is voorbij. Toch heeft de ontwik- 
keling van spraaksyslemeii niet stilge- 
stnan, Onlangs heeft de W3C de 
VoiccXML 2.1-standaard aangeno- 
men, terwijt de praklische bruikbaar- 
heid van die standaard door fabrikan- 
ten als Philips (telefoongestuurd, 
gesproken spcKirhtJckjc) of TomTom 
(routenavigatieapparaluur met gespro¬ 
ken rouleaanwijzingen) al lang bewe- 
zen is. En c.K)k in dc softwaresector 
heeft VoieeXML het nodige in gang 
gczcL Tal van spraaktoepassingen heb¬ 
ben inmiddels hun inlrede gedaan in 
het dagelijks leven, 

Geavanceerde 

softwareproducten 

De vooruitgang van spraaklocpass- 
ingen is al bijna zichtbaar in de win- 
kels. Er komcn niet alleen steeds meer 


nieuwe spraakstandaarden, maar ook 
de geavanceerde softwareproducten 
staan elkaar te verdringen op dc markt. 
Philips heeft voor de Duitse spoorwe- 
gen een lelcfonisch spraaksysteem ont- 
wikkeld dat gesproken in format ie over 
treinverbindingen tussen zo'n UH)0 
stations verslrekl* Afgezien van de 
normale telefoonkoslcn zockl de com¬ 
puter gratis en spraakgestuurd vtK)r je 
nil welkc Ircin je het beste kunt nemen. 
Een ander voorbecld is dc bekende 
routenavigatieapparatuiir van TQmTt)m 
en anderc fabrikanten die je route uit- 
stippelen, waarbij een cumputerstem Je 
tijdens het rijden de weg wijsl naar je 
bestemming. Toch zijn het niet alleen 
grote ondememingen die het potentieel 
van spmakgestuurde toepassingen 
onderkennen. Ook bij call-centers 
neigt de feiidens steeds duidetijker in 
de richting van automatisering. En die 
auti>malisering komt door spraaksys¬ 
temen binnen bereik, Banken, verzeke- 
ringen en luchtvaurtmaaischappijen 
onidckken eveneens dat zulke oplos- 
singen gepaard gaan met kostenbespa- 


ringen en toename van dc etTicicntic. 
Tenslotte is een spraaksysteem 24 iiur 
per dag inzetbaar en kan het een nage- 
noeg onbeperkt aantal aanvragen ver- 
werken. Marktonderzoeken in de bran- 
che bevestigen de trend: de handel in 
spraaksystemen kan rekenen op een 
jaarlijkse groei van 30 procent. 

Veel software fabrikanten op dit 
gebied richten zich op YoieeXML, een 
spccificatie van het World Wide Web 
Consortium (W3C) die mirspronkelijk 
bedoeld is voortelefonieapplicatics. Er 
zijn a I platfonns verkrijgbaar waarmee 
ontwikkelaars cornplexe spraaktoepas- 
singen op basis van deze markup-taal 
kunnen bouwen* Op voieexmborg is 
een uilgebreid overzicht van actuele 
tools te vinden (zie ‘online bronneii'). 
Dil overzicht bestaat nog alleen uil 
platforms die het ccrtinceringspro- 
gramma voor VoieeXML 2X) hebben 
doorlopen, maar de lijst namen van 
gecertinccerdc ondememingen toont 
wel aan er op grote schaal daadwerke- 
lijk belangstelling is voor deze certiH- 
cering. Met Avaya, Edify, Envox 
Worldwide, Genesys, Holly Con¬ 
nects, Nortel, Nuance, VoiceGenie, 
Vocaloeity, Voxeo, Voxpilol en West 
Corporation is de creme de la creme 
van de spraaksector vertegenwoordigd. 

Zelfs Microsoft stuurt crop aan om 
op de markt van spraaktoepassingen 
een woordje mee te spreken. Het 
liedrijf uit Redmond wil eind dit jaar 
Speech Server 2(X)7 (MSS) uilbrcngen, 
de opvolger van MSS 2004. Het is dui- 
dclijk dat Micn>soft daarniee een aan- 
val op de gevestigde aanbieders plant, 
want het bedrijf heeft bijna alle samcn- 
werkingsovereenkonisten met andcre 
fabrikanten op bet gebied van spraak- 
herkenning opgezegd. Met MSS 20t)7 
slaai Microsoft een eigen weg in, en 
zal daarmee waarsehijnlijk de markt 
behoorlijk in beroering brengen. En 
dat is nog n icl alles. AI een tijdje terug 
is uitgelekt dat MSS 2{K)7 zelfs de 
ondersteuning zal latcn vallen v(H)r 
ouderc M icrosufl-eigen standaarden 
zoals de TAPLinterfacc. Op dat gebied 
slaal er de ontwikkelaars van spraak- 
sysiemcn dus nog iets te wachten. 

Er gaat geen dag vcxirbij of er komt 
wel weer een nieuwe onlwikkeling uil 
dc spraakherkenn i ngssector op dc 
markt. Deze overvltx;d aan innovatics 
is enerzijds goed vtK>r de branchc, 
maar is er anderzijds ook de oorzaak 
van dat managers en zelfs ontwikke¬ 
laars alle nieuwe trends cn producien 
nauwelijks nog kunnen overzien. Dc 
ontwikkelingschaos lijkl ook het Eclip- 
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se Voice Tools Project tegen te werken. Hierin maken 
bedrijven eti priv^-personen kosteloos diverse iooh bcschik- 
baar. Elk ander hedrijr kan er gebryik van maken en deze - 
eveneens kosteloos - in een eigen product integreren, Deze 
bundeliiig van competenlie bespaarl alle dcclncmcrs ontwik- 
kellijd. 

Spraakstandaarden: 
vooral VoieeXML 

Wic het over spraakhcrkcnningssystcmcn heefl, kan nict 
om VoiceXMl, heen. Het VoieeXML Forum, een consorti¬ 
um van nu ongeveer 150 bedrijven (dat waren cr in 2003 
nog 600), hccfl al in 2(M>0 versie 1 X) aan hel W3C vcxirge- 
legd. Sindsdien heeft het W3C de verantwoording voor de 
verdere ontwikkeling van de taal in handen gelegd van de 
werkgroep 'Voice Browser* Activity* In juni 2(KI5 heeft de 
groep versie 2d openbaar gemaakt, die enkele wezenlijke 
veranderingen doorvoert. In release 2J worden niei alleen 
nieuwe clemcntcn gcintroducccrd en bestaande functies uit- 
gehrcitl, er zijn tevens acht aanvulleiide features in geVnte- 
greerd. Je kunt bijvoorbeeld dynamisch aan de grammatica 
en de scripts refereren. BiJ alle vcmicuwingcn heeft de werk¬ 
groep ervoor gezorgd dat VoieeXML 2.1 compatibel blijft 
met Dudere versies. Achter de coulissen werkt de Voice- 
Browser^ groep al aan versie 3.0* Daar is op het mtmient van 
schrijvcn nog niets over bekend, maar nog dit jaar moet er 
een aanbeveling volgen. 

Je kunt in ieder geval al een blik op de toekomst werpen* 
Zo werd in juni 2005 het eerste oniwerp van 'State Ch£irt 
XML (SeXML): State Machine Notation for Control 
Abstraction 1 *0’ bckcndgcmaakl. Daurbij gaat hel om een op 
eeXML (Voice Browser Call Control) en UMl. gebaseerde 
state-machine-execution-omgeving die later in combiiiatie 
met VoieeXML 3*0, CCXML 2*0 cn de Authoring Lan¬ 
guage zal worden gebruikt* 

VoieeXML is weliswaar de toonaangevende XML-iaat 
om dialogen mcc Ic spccificcren, maar het genoemde 
CCXML hanlcerl een ander uitgangspunt. Deze laal bezit 
een syntax is waarmee Je kunt beschrijven hoe je oproepen 
kunt beantwoorden* Je inoct CCXML niet zicn als een 
legenpool van VoieeXML, maar als een uitbreiding. 
VoieeXML was oorspronkelijk namelijk nooii bedoeld voor 



Opera onder-sleunf zowel de CSS3-spraak-module als 
XHTML+Voice. 
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eRIC II 

Beheer uw systeem op abtatid met de veelzijdige eRIC II kaart van Peppercorn 
Naast KVH over [P kuni u uw systeem soft- en hardware matig aan en uit letten* 
Het de virtue! e floppy disk en usb emu la tic is een BIOS update of het starten 
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om de eRIC II te fiKSjRbenaderen ah uw syteem geen 
spanning meet levert. 
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Spraaksystemen 


UsHng 1 s Dev«itiging Yan een pizzabetlolling 

csaltjwl id= "Piiia' S' 

U liebt zujList [te pizza 

<salt:?alufi tarj?tElfiEiit="tiiPiizaTy|te'' targatMtrilnitc="Yalu4"^ 
let eeti 

<salt.: iia lut UirgetEleiEnl-'^titlliaiij'' target At tribute-" vaLue'/? 
rand besteld. 

</s.alftpj‘QBpt> 


automatische aansturing van oproepen 
en kan dat ook helcmaal niet aaiL DJt 
manco leid*. citoe dal bedrijvcn of de 
aanwezige syntaxis moeten uitbreiden 
of voor him ejsenpakket een geopttma- 
lisccrdc eigen laal moeten onlwikke- 
len. En zulke zelfontwikkelde, onder- 
ling niei compatibcle talen warcn non 
jiiisil wat een slandaard als VoiceXML 
moest voorkomen. 

Deze chaotische situatie wil W3C 
tegengaan met CCXML. Hoe para- 
doxaal bet ook mag klinkcn, Voice¬ 
XML is mcde ‘schuldig’ aan het feil 
daL dit nieuwe liitgangspiint moesl 
worden ontwikkeld. Eigenlijk is 
VoiceXML als caal voor veel locpass- 
ingen gewcH.m le krachtig, Lerwijl inte- 
gratie in bestaande systemen vaak 
weer te omslachlig is. Daardoor 
sehrikken veel bedrijvcn lerug voor 
investeringen in VoiceXML-toepassiii’ 
gen. Maar er is nog ids dat voor 
CCXML spreekt: elke inkomende lele- 
foonoproep vereist aansturing, en dat 
is nou precics wat CCXML beschrijft* 
Het W3C publiceerde dan ook in jiini 
2005 officieel CCXML 1.0, en de kan- 
sen dat de CCXML-aaiipak zich door- 
zet staan niet slecht. 

Spraak via CSS en 
XHTML 

Het W3C is ook bezig aan twee 
andere interessante talen die nauw met 
"nonnale' internettechnickcii zijn ver- 
weven. Bij de CSS3-spraaknK>dule en 
biJ XHTML.+Voice gaat het om conse- 
quente doorontwikkelingen van beken- 
de webtalen. De CSSS-spraakniodule 
breidt de bestaande Cascading Style 
Sheets uit met een optie die spraakuit- 
voer gericht kan sturen: 

P ( 

voice'fomily; male 1; 

'XV'Voice*volume: soil; 

1 

Deze regels moeten ervoor zorgen 
dat een browser tekstalinea's die met 
een p zijn gemarkeerd, met een zachte 
mannenstem opleest. XHTML+Voice 
maakt een verbinding tussen XHTML 
en VoiceXML, zodat spraakgestuurde 


weergave van gewone inter- 
netpagina's wordl gereali- 
seerd. Daartc^ worden bin- 
nen het /^r^o^Z-bereik van een 
XHTML-pagina vxml.forni- 
elementen gedefinieerd,die 
een koppeling naar de 
betreffende XHTML-tags 
in de body tot stand brengen, Dat 
XHTML+Voice en CSS3 al meer zijn 
dan enkel theoretische uitgangspunten, 
toont de browser Opera. Deze onder- 
steunt beide talen en laat zien in welke 
richting toekomstige toepassingen kun- 
nen gaan. Op de pagina's voor ontwik- 
kelaafs leveren de Noorse makers van 
Opera al een paar codevoorbeelden 
die duidelijk maken wat er met 
XHTML+Voice en de spraakmodnle 
CSS3 mogelijk is. 

Het zogenaamde Sallforum, waar 
onder andere Microsoft, Intel en 
Philips deel van uitmaken, ontwikkeh 
eveneens een opzet voor spraaktoepas- 
singen. In eerste instantie wilde dit 
forum met dc Speech Application Lan¬ 
guage Tags (SAl .T) een meer puiir op 
spraak leunende tegeiihanger voor 
VoiceXML leveren, maar intussen zijn 
de geschillen bijgelegd: W3C en Salt- 
forurn werken sanien. Zo heeft het 
Salllonim bij hel W3C cen specificatie 
ingediend voor tags die incegreerbaar 
zijn in HTML- en XHTML-diKumen- 
ten. Met behulp van deze tags kun je 
gewone webpagina’s uitbreiden met 
multi mediate en multi modale functies, 
Dit idee hiedt nogal wat mogclijkhe- 
den. Je kunt bijvoorbeeld veel ontwik- 
kclkosten besparen wanneereen online 
p resen tat ie alleen door hcl locvoegen 
van SALT-tags letterlijk spraakma- 
kend wordt, terwijl de eigenlijke 
HTML-synlaxis zovccl mogelijk 
behouden blijft. De code in listing 1 
toonl een typische toepassing van hoe 
je ooil cen pagina voor een pizzabe- 
zorgdienst zoit kunnen realiseren. 
Hiermee wordt een gesprek tussen 
browser en paginahczockcr vcrLaald 
zoals gebruikelijk is bij een telefoni- 
sche bestelling van mens-tot-mens, 

Conclusie 

Dat spraakherkenning meer te bie- 
den heeft dan een alternatief spoor- 
boekje of navigatiesysLccm, blijkt als 
je een blik werpt op projecten als 
Drempels Weg, dat o.a. webpagina’s 
toegankelijker wil maken vcM>rmenscn 
met een handicap, Spraakherkenning 
kan vootal voor blinden het zoeken 


Online bronnen 


VoicaXML 

Voice-Browser-werkgreep von W3C 
VoiceXML. 2.1 

www.w3.org/TR/voicexml21 / 
VoieeXML-Forum 
www.voicexmi,org 
Certifiecl PI otto ms 

WWW. voJcex m 1 .0 rg/pl a tfo rm_ce rtiti coti on / 
cer f i f I e ct_pla tfo rms .Mm I 
Artikel over VoiceXML 

WWW- 1 28 .ibm.com/devebperwork 5 /search/ 
5earchResdt5.[sp?seafchType-1 ^seorchSite- 
d WStseo rchSc ope= d W3tq u e r y-vq icox m I 

Overige standaorden 

State Chart XML (SCXML}: State Machine 
Notation for Control Abstradion 1.0 
ww w. w 3. Of g/T R/sexm 1/ 

Voice Browser Call Control: CCXML Version 1.0 
w w w. w 3 .0 rg/TR/ cc xml / 

CSS3 spraakmodule 

WWW, w3 .0 rg/TR/2004/W0-cs$3 speech- 
20040727/ 

XHIMltVoEce 

WWW.w3 org/TR/xhtml+voice/ 

Overige 

Eclipse Voice Tools Project 
WWW .fic 1 1 p s e .or g/vtp/ 

Ontwikkelaarssile van Opera 

my .ope ro. com/co mm u ni ly/dev/vo ice/ 

Saltforum 

www.saltforum.org 

MulNmBdia'tools von IBM 

w w w- 3 0 6. tbm.com/softwa re/ perva si ve/mu Iti- 

modoJ/ 

Voice Community (Ouitslalfg) 
vofce'Community.de 

TrEolverste von MSS 2004 (180 dagon] 
www.microsoft.com/speech/evaluaiion/ 
evaluotionktt/defoult.mspx 
Dfempels Weg: www.drempelsweg.nl 


naar infonnatie vergemakkelijken, 
Voorbij zijn dan dc tijdcn van kostbare 
aanvLillende hardware, zoals braille- 
tuetsenborden, et cetera. Dat spraakge- 
stuurdc pagina's al wcrkclijkhcid /Jjn, 
wordt aangetoond door de webbrowser 
Opera, die de CSS3-spraakmodule 
sinds versic 7.60 nndcrstcuni. Voorals- 
nog is het afwachten of de toonaange- 
vende browsers Firefox en Internet 
Explorer in hun komende vcrsics tels 
vergelijkbaars zullen integreren^ 

DANIEL KOCH 

is werkzoom als freelance ontwikkebar 
en auteur. 
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.NET 2.0 



Toefje slagroom 

Noviteiten in de class library 
van .NET Framework 2.0 

Holger Schwichfenberg 

Met de release van het ,NET Framework 2.0 heeft 
Microsoft de ,NET-class library fors uitgebreid. Het 
merendeel van de nieuwe classes komen op het conto van 
de nieuwe visuele controls. Daarnaast zijn er belangri|ke 
uitbreidingen voor het gebruik van consoles, blj 
bestandstoegang en op beveiligingsgebied. 


n noveinber vorig jaar heeft Micm- 
soft tegelijk Jiiet Visual Studio 2005 
de nieuwe versie 2.0 van .NET 
gelanceerd. Daamiee werd het object- 
en componentgebaseeide programineer- 
platform in een klap enoiTn veel groter, 
De uitbreiding is met name ^ichtbaar in 
de Framework Class Library (FCL), die 
in diverse name-spaces is opgedeeld. Dc 
veinieuwingen in de FQ. 2.0 bestaan uit 
aanvulllngcn op bestaande classes, 
nieuwe classes en toegevoegde name¬ 
spaces. Het aantal publiek toegankelijke 
classes heeft zich van 2303 bijna ver- 
dubbeld tot 4528 (zie afbeelding !). L>e 
grootste toename (482 classes) is te vin- 


den in de namespace vtK>r Windows 
Forms {System.Windows.Forms) vanwe- 
gc de nieuwe visuele controls* gevolgd 
door dc namespace vtxjr Web Forms 
(450 extra classes voor System.'Web.U!. 
WehControis). Daarnaast zijn er onge- 
veer bonderd nieuwe classes op hel 
gebied van configuratie-instelUngen 
{SystemX^onfigiifaiion), Active Directo¬ 
ry {System DirecmryServices ActiveDi- 
rectory)^ basistypen {System) en de toe- 
gang lot hcl rechlcnsysteem van Win¬ 
dows {System Security A ccessControi). 
Damtjij vergeleken zijn de toegang tot 
net work {System en gegevens 

{System.Data) er met respeetievelijk 42 


en 38 wijzigingen kaiig vanaf gekomen. 

Over de nieuwe System.XmFfunctics 
van JMET 20 berichtte iX al eerder [1], 
HcL volgendc beperkt zich tot cen selcc- 
tie van andere aspecten van de FCL 2.0. 

De console terug in 
beeld 

Con soletoepass ingen spclcn tmk in 
deze Tijd van kleurige grafieken en 
muisbesturing nog een belangrijke rol 
voor systeemheheer en softwareont- 
wikkeling, al was het maar voor het 
leslcn van loepasstngen. Microsoft 
heeft erkend dal dc ondcrstcuning 
voor consoietoepassingen in .NET 
1 .K erg schraaf was en heeft er daar- 
om dit keer relatief veel mocitc aan 
besteed. 

In tegensielling tot de toepassings- 
typen Windows {System.Windows. 
Forms) en Web bestaan 

er verder geen consoletoepassingen 
met eigen namespaces, maar krijgen 
ze wel een afzonderiijke class: Sys¬ 
tem. Console, Deze class dient voor 
de interactie met de slandaard input 
en de standaard output, in de regel 
dus met het consolevenster cmd,ex€, 
Vroeger bood deze class sicchts 
enkele karige functies voor het uitle- 
zen van invoer {Read{}, ReculLineO) 
en voor afdrukken van tekst op dc 
console {WriieO, WriteUnei)). In de 
nieuwe versie is de class aanzienlijk 
uitgebreid, vooral wat betrefl het for- 
matteren van de uitvoer: 

- wijzigen van de grooue en positie 
van hel consolevenster: SetWhidow^ 
Size{) en SetWmdowPosition{) 

- absolute positionering van uitvoer: 
method SetCursorPositioni) 

- gekleurde uitvoer: attributes Back- 
grotmdColor en ForegroundCohr 

- uitschakclen van de cursor: attribute 
CursorVisible 

- accepteren van losse toetsaanslagen: 
method ReadkeyO en parsing daar- 
van met de structure Console key hifb 

- uitvoer van een geluidssignaal: 

B€ep() 

- verschuiven van inhoud van het con¬ 
solevenster: MoveBuJJerAreai) 

Een leiike demo van deze functies 
is de .NEl-gebaseerde wederopstan^ 
ding van de gameclassie 'Space Inva¬ 
ders' (zie afb. 2 en de online bronnen). 
Dat is levens een voorbeeld van 
de nieuwe System JO.Ports-[nnci\cK^ 
waardoor je het spel via een extern 
serieel apparaat kunt aansturen. 
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Het aantcil public classes 
in de namespace System * 



Grootte van de .NET class library: alleen publieke 
referentietypen zijn geteld (afbeelding 1). 
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Back fo rhe roots: Space Invaders in .MET 2.0 {afbeeld, 2j. 


Fllesystemnieuws 

De ondersteuning voor seriele poor- 
ten is niel dc enige vemieuwing in dc 
Sv.y/^/TiyO-namespace. De ontwikke- 
laars uit Redmond voltooiden het 
objcclmodel v(K>r ttJcgang tol hot 
bestandssysteem (zie afb 3) via de class 
Driveinfo, die informatie over aanwezi- 
ge stations levert. De al aanwczigc class 
File bevat vereenvoudigingen voor het 
lezen en schiijven van bestanden 
via uitbreidingen van methods als 
ReadAli(), ReadAIlBytes(ReadAll- 
Unes(), ApperidTextO, Write Urw(), 
WrileAliBytes(), Write All Unes() etc. 
Voor het bepalen van paden voor bij- 
zondere directory's (zeals Desktop, My 
Documents, My Music) dient de nieuwe 
class Spccial DiTcclories. 

In .NET I .X was het lezen en wijzi- 
gen van ACL’s (Access Control Lists) in 
hcl bestandssysteem alleen mogelijk met 


Jl-TRACT 

• De .NET Framework Cfass 
Library 2.0 biedt vergele- 
ken met de vorige versie 
meer dan 2000 nieuwe 
classes. 

• Behalve op controls voor 
Windows- en webinter- 
faces hebben de aonvuk 
lingen met name betrek- 
king op de console, de 
configuratie, het netwerk 
en de beveiliging. 

• De .NET Enterprise Library 
maakt het programmeren 
met .NET aanzien!i|k een- 
voudiger. 


omwegen; vra oude COM-component 
ten, via de Windows~32 API of de 
WMI-specificatie. De classes File en 
Directory bieden nu via de methods 
GetAccessControl() en SerAccess 
Controli} direct toegang tot objecten uit 
de nieuwe namespace System Security.- 
AccessControi. fasting 1 laat zien hoe 
de ontwikkelaar de ACL van een aaii- 
wezig bestand met twee nieuwe ACE- 
entiy's (Access Controls Entries) aan- 
vult. Verder kun je voortaan gegevens 
(de)comprimercn met het ZiP-algorilme 
(SystemJO.Compression). Onder .NET 
1 a bestoiid daartoe al de open-source 
add-on component SharpZib-Lib (zie 
online bronnen). 

Generic types 

Bijiia elke loepassing bceft wcl 
datastructuren nodig voor het opslaan 
van objectverzamelingen (alias sets of 
collections). Nieuw in bet .NET 2.0 
framework zijn sterk getypeerde col¬ 
lection types, zoals System.Cotlec- 
Ikms.Generics. Stack<T> in plaals 
V an System . Collections .Stack . Dat 
meet voorkomen 
dal de gebmiker 
van een collection 
type een onge- 
wenst element in 
dc set opneemt. 

Vroeger moesten 
ontwikkelaars voor 
dal doc I zclf cen 
eigen collection 
type coderen of 
cen gesehikle eo- 
degenerator ge- 
bruiken (zie online 
bmnnen), wat alle- 
maal maar lastig 
was. De nieuwe 


.NET2-collection types bevinden zich 
in de najTiespace System.Colfeciion. 
Generic en zijn als generieke classes 
geYmplementeerd, 

Generieke type libraries bieden tegen- 
over ongelypeerde type libraries hcl 
voordeel dat ontwikkelaars de objec- 
tenverzameling al in de ontwikkelfase 
op een bepaald inhoudstype kannen 
nxeren', zodat de compiler het merkc 
waiineer objecten van het verkeerde 
type aaii de library worden Loege- 
voegd, 

Alle collection types die in .NET 2.0 
ter beschikking staan, worden in de 
gclijknamige label weergegeven. Rij 
generieke collection types die hashes 
en SortedLists ondersteynen, kun je 
voor de key een eigen type aangeven. 
De namen van de generieke collection 
types zijn helaas niet consistent met die 
van dc niet-getypeerde collection types. 

.NET gebruikt voor het opslaan van 
de configuratie niet meer de Windows- 
registry, maar XML-bestanden. Al in 
de eerste versie kon een toepassing 
deze configuratie uitlezen, maar nu pas 
kun jc zc ook comforlabol wijzigen, 
zonder dat je met XML aan de slag 


1 ; vtin ti»«gii«t 0 srQ<hten 

publU void tfclvtedtgpijllent} 

{ 

mu string fitSlANI = l'’c:liiUoBt8pt.(t(}c"; 
ft ACL iiiilisUn 

Fil(kC(irity iibjFS = Fils.SetAccmEontroKBlSTAND]; 
ft ACE vcmardigen 

riUI - n«y Fft?S^ite«AtcessRuLe{ 

rittf 

SysttB, Secdri ty .Principal, IfAccount ef''),Ff leSjfStenUtihts. floil fy, 

Acc«ssCciitrolTy|ie.&«ivy}; 

FTleSysteiADcassHuit ruUZ = nu FilaSysteiAccasElliiLeC 
m Systti.Security.Principal.StciirilyldtnlifiEr 
Oystel. Securi ty kPtI nd pal .itL tKnatfnSidlypE.Biii LtinAdiinistntarsliif, nul tl^ 
FiLeSysteiEiglits.Fulitontrcl, iGcessControlTypeJlLcd; 
fl Gegd toeunegEn 
abiFS.Ad<fAccGssJluldrijLd); 
cbiFS.AdtfAccEsshldrulEn; 
ft Oi^sla^n 

FiUietAccessCcfltrdCBESTAlP, abjFS); 
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KNOWHOW » 


.NET 2.0 


GelOriyes(] 


Objecfmode! van Sysfem.lO 


^ Afro/of Drfveliifo; 


GetDirecroriesj) 

- f. . I r X : CreqteDirecbryO 
Drveino} ■ CrEataSubOiredoryll 


Root 

Parent 


CreoleFiled 


Array of 
Directory Info 


^(^^jirectory ^ 


Roof Directory 


Mef het objectmodel van SystemJO 
krijg je toegong tot be^tanden en het 
bestandssysteem (ofbeelding 3)* 

hoeft. In .NET 2*(J kun je bovendien 
vecl eleiTicnlen van hct configuralicbe- 
stand met XML-encryptie versleiitelen. 



Open[] 
Creolef) 
OpenWiitefl 
Open Read I) 


FileStreom 


Beschrijfbare 

configuratie 


strings daarhij in dc ctxlc moesl /jclten, 
met het gevaar dat een typfout tot een 
runtime-fout zou leiden. Nieuw is de 


Ciosses vergelijken 

Op cen website van do auteur (www.dot^ 
netframework.de/dotiietkJasseTi) is een 
tool bescliikbaar voor het vergelijken 
van de class library in 1,0, LI en 
2.0. Via namespace of class kun je op- 
vragen welke functies Microsoft in 
welke v ersie bee Ft ingevoerd. 


ondersteuning voor sterk getypeerde 
resources. Voor het genereren van wrap¬ 
per classes kun je naast Visual Studio 
2005 00 k de gratis tool re,sgeii ,exe uit de 
Framework SDK gebruikeii. 

Mel dit allcs wordl de registry, die 
ooit de centrale opslagplaats voor alle 
gebruikersinstellingen was, verder bui- 
Lenspel ge/xt. Dc viirm van opslag is 
zelfs nog verder te bepalen met het in 
.NET 2.0 opnieuw ijigevoerde provider- 
mtxlcl (zie alfi 4), waarmce Jc door 
atleiding uit de class System.Configura¬ 
tion .SettingsProvider een andere opslag- 
vorm kunt implemenleren. De meegele- 
verde implementatie voor Windows- en 
consoletoepassingen is LocalfileSeh 
tingsPravider. Webtoepassingen hebben 
eigen, zogenoenide Profile Pioviders. 

Ook veel verbeterd is er in de names- 


De .NET Enterprise Librory 


Microsoft heeft alle functies voor toe- 
gang tot loepassingsbredc configiiralie- 
bestanden in een nieuwe class met de 
naain System.ConJfguralkm.Coriffgtmi- 
rioiiManager verpakL. De oude class 
System. Configumthm .Cmtfig umti {mSet- 
Ungs is nog steeds beschikbaar* maar 
wordt ills ’obsolete' aangeduid. Naast 
toepassingsbretic conllguralies zijn er 
ook gebruikerspecifieke configuraties 
voor elke loepassingen die JVET in 
lokalc gcbruiket 7 )rollelcn opslaat, waar- 
bij de naam van de fabrikant, de naam 
van de toepassing en het versienummer 
van de loepassing in hct pad vcrschijnen 
(bijvoorbeeM: C:\Dcfamients and 

Sen mgs\tIolger Sch wich tenberg\Lacai 
SemngsWpplication Data\Jieis€^Sofr- 
ware\NETDernos\I .0.0.0). 

Gebmikers van Visual Studio kunnen 
de conllguraiie-instellingcn cenvoudig 
via early bindings gebruiken. Met de 
nieuwe IDE kun je de configuratievaria- 
belen via het labblad SeLlings in de pro- 
jecteigenschappen detlnieren. Veiwol- 
geiis genereert de IDE automatisch een 
wrapper-class met de naam Settings, die 
van System .Configuratian Application 
Se.uingsBase is afgeletd en die alle 
inslellingcn als typed data members aan- 
biedt. 

Via een soortgeiijke inethode gene- 
reeit Visual Studio cK>k wrapper-classes 
voor resourcebestanden, De oude class 
ResourceManager gebruiken was fout- 
gevoclig, omdal je de rcsourccnamen in 
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De PCL is omvaiigrijk en lost veel 
problemen op, maar is niet edit zo 
kort en krachtig als het FTP-down- 
loadvoorbeeld hiernaast liel zien, 
Microsoft biedt al sinds .NET l.l 
nog een class library aan, de .NET 
Enterprise Library, die veel fiincties 
vereenvoudigt en tegelijkertijd een 
encapsulation vorml van de ’best 
practices’ voor .NBT-technologieen 
die in de groep Pattern & Practices 
van Microsoft zijn bedacht. 

De .NET Enterprise Library is een 
als broncode verspreide class library, 
die je gratis bij Microsoft kunt down- 
loaden (zie online bronnen), in eigen 
projecten kunt opnemcn en ook kunt 
wijzigen. Enkele functies van de 
.NET Enterprise Librai 7 voor .NET 
l.l zijn in de FCL 2.0 behouden 
gebleven. Dienovereenkomstig is er 
ook een nieuwe vefsie voor .NET 
2,0^ die medio januari is verschenen. 
Deze bestaat momenteel uit de vol- 
gende applk aiion blocks: 

- Caching Application Block; 
iokale caching van gegevens in 
opsiaggeheugen of databases 

- Configuration Application Block: 
lezen en schrijven van configura- 
tiebestanden 


- Data Access Application Block: 
standaard databasefunctionaliteit 

- Cryptography Application Block: 
toepassing van hashing en sym- 
nietrische encryptie 

- Exception Handling Application 
Block: nchtlijngehaseerde behan- 
deling van exceptions 

- Logging and Instrumentation 
Application Block: voor protocol- 
leren en monitoring van toepas- 
singen 

- Security Application Block: 
authentiseren, autonseren, rollen 
en pnificlgegevcns 

Vanuit de architectuur hebben alle 
blocks gemeen dat ze voor specifieke 
toepassingen sterk configureerbaar 
ztjii. Instelliiigen voor datatoegang, 
security, caching, exception handling 
etc. kun je in de XML-gebaseerde 
configuratiebestaiiden voor toepas¬ 
singen aanpassen. Alle application 
blocks gebruiken daartoe als basis 
het Configuration Application Block. 

Mr bestaan nog meer afhankelijkhe- 
den tussen de blokken. Voor de ver- 
vaardiging van configuratiebestaiiden 
levert Microsoft met de Enterprise 
Library een Windows-toepassing 
mee. 
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iffP* 

pibUc n\i nP&OHulQaiO 
( 

tmt strinj OIL = rftpt//(ti.b^ 3 t,de/te;t/ilTI»Q.ii{>‘,- 
cttist strini LdEMD'Ilt = rcntfiplIlTleis.rii^ 
ftpllebU|Q»l ftp = tFlpV(bliq(i{U)Ftplltbleq9eit.Crtm(tllU; 
ftp.letbid ± Vebltquc»eKithQ4iJtpJfHrl»dFil(; 
ftp.Crtdentiili = m leUorltredtQtliKHs', 'frhifr); 
Ft|j1ifel)lt5P(ni5« rcjpeiKf = CFtpUeblfiponsf] ftp.Sttlfsp^MeO; 
Sti-«at mpaHfStrtai ^ rt^p^nse.fietttipMStStrtaitJ; 
6ew,Mil("l«sliiid lidea,. .*1; 

FiL«Strfii fiLeStrtai 12 iutl; 

// Peelb^tifid apiiten 
fUtSlrm = fiie,Criate(LailllPi»}; 
bjuFl biiFfjf = Ufa MeClWU; 
iit byttsK^ad; 

U lalczrn en \n Ifitand bpiFm 
ahfli Ctrae) 

( 

byteiBtid = rsipflhsjStrewJfidtbuffer, B, bufferAergtb); 
if [bj^tesnead == D} 
break; 

ffleStretB.drttefbuffer^ bytesJead}; 

CMSfllt.lltiiff*/'!; 

// Mies sUiUP! 

respoPseStreaietloaeD; 

fileMreii.ClMMi; 

} 


pace System.Net^ die de classes 
voor iieiwerkfuncues bevaL 
In hei bijznndcr tii>emcn we de 
ondcrstcuning vcK>r FTP (5)^5- 
teniJ^elJ^'lpWehRequexf en Sys^ 
tern Js/et .Ftp WehRexprnLse ), SSL 
(System .Net Security SslSrream ), 
HTTP-cacbing(Sj?jifem,/Ve-f. 
Cache*) alsook de class 
HttpUstener voor het opzetten 
van een eigen I ITTP-serven 

Snel het net op 

Hcl gebruik van FTP (zie lis¬ 
ting 2) Ls weliswaar nog altijd een zaak 
van twee coderegels, maiir gmtt aanmer- 
kelijk elcganlcr dan in dc vorige versie, 
waarin je om onbegrijpeiijke redenen 
nog direct met TCP/IP-sockeis aan dc 
gang moest. 

De nicLiw ingevoetxle sub-namespace 
Networkinfonnation biedt staiistischc 
infonnalie over TCP/IP (zic listing 3) en 
de mogelrjkheid om een ping te verstu- 
ren, Networklnterface ^GetAllNetwork- 
Inter/acesO levert een array van Net- 
worklnterjace-ob'jtcisx), die inlichtingen 
over de status van het netwerk geven. 


Wat wel behtKul tot het netwerk, maar 
nici bij de namespace SystemSfet is de 
verbeterde ondersteuning van directo¬ 
ry services in DireewryServiees. Acti- 
veDirectory. Als aanvulling op de 
algemene LDAP-implenientalie heeft 
Microsoft in System I>irectoryServices 
iK)k een speciale namespace voor de 
eigen LDAP-gebaseerde directory servi¬ 
ce Active Directory gesehapen. De nieu- 
we namespace biedt vm^ral classes v<.>or 
het beheer van de toiaalstruciuur van 
een Active Directory. bijvcK>rbeeld 
Forest, Domain, Active Directory 


Type libraries in 

.NET 2.0 

Typt irbnry 

oirgetYpeerd 

(System.Colkclion) 

9«fy|pMd, generiek 

(System. CollecImn.Generic) 

RFCMtnjtIuur 

Queira 

Qufii«<Ty|w> 

tlFtkmicnjuf 

Stock 

Smck<[ypi> 

Oynoml^ho array vocr dlekoiifip abjactifi 

AmryUst 

Ust<lyjse> 

Dynomische orfoy voor bitwoonkn 


* 

SleuletinhQudsntior (loegcng via sleutel] 

HoshFable 

Dfclionotv <sfeLrte{tyije,inhcHjdstype> 

Sleutelinhoudspoof [toegong vio slouttd of index] 

SorteEllisi 

Somedlist <sbtsJivp6jnhoudstype> 

[}ab1}el votbonden lijst 


Urykedb'st<TypE> 


publlE void IMStittnioM) 

{ 

IPUobM Proffer ties ip^p ^ IPUvbMPfOptrtiei.fittlPGLQhMPropertiesO; 
RpStitistks t = ipipJetUpiPvUtitistirsOj 
I m. P p int f t. Current Cciimc t i ens I; 

I eio ,Print U P E r r^r steceivedl ; 
lem Jrfntt t .PasiiufConiteMioni}; 

6w,Pria|( t JefieiitsBeteiiftd); 

Qeto.PriMtt.SefieittsSent}- 

} ^ 


listing 4; Lt[»l van dtomnincantrollers 

pbLit vpii hwinCPfilPpUtHJ 

( 

// Iftiidii (foie is bepMen 

&iP6cnr]rCimt(it (ft = lir«lor)rCniitfM JpeBf'lMP://iit=il*vi5i9rB,ilc=de’^); 
Doiaio d' Systen.llrKtor]fServ1ces.ActiueMreotao.boiijii.eetBb|f(ttdct; 
boiainControUerUl Lection Ki - dJofitnCoMrolLers; 

U SlepfB J¥(p iiU dnieincotitfoMers 
fortioh (OoninCootPOUer IC In 10} 
t 

t^nsole,ifHtattie(“ltiii: " t iCJm); 

Console.llpiteLitiM*'IP: " * CC.I?Address.ToMriti|fn; 
COflsole.VpiteLinM^Tijd: ‘ * IC. Car r ei trine Jolt nniO); 

Console.UritoLinePtolLen;*}; 

// SLepen ever illi rollin vin di doneinoontrollers 
fertich (MtmllrKtor]fi«ie t tn IC.IoUO 
f 

ConjoLe.dfiteLiniP* * ♦ t.ToStrli»|fJ3; 

J 

\ 


Partinon, DomainController, Global- 
Catalog^ en ActiveDireciorySubnet. Ook 
enkete speciale classes vcxir Active 
Directory Application Mode (ADAM), 
een soort Active DlrocXory-lite met min¬ 
der functies die dienl v(K>r gegevensop- 
slag van eigen toepassingen, worden 
ondersteund met classes als ADAM- 
Iristance - Collect km c n A DA Mftman ce . 
Listing 4 demonstreert hoe je toegang 
krijgt tot de lijst van domain contiollers 
in een Active-DirectoryHlomein. 

Meer veiligheid 


Voor de beveiligingsvoorzieningen is 
in de FCL de namespace SystemSecuri- 
ty vcrantwcHindclijk. Innovaties zijn hier 
de ondersteuning van de Public-Key 


Providermodel als vervanger voor de registry 



Het nieuwe providermodel biedt het olternotief om standoardmethoden van het Framework door een eigen 
implementatie te vervongen (afbeelding 4), 
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Nomespace ObjecfSeci/rify Obj€€tS€ajnty is de 

parent class van alle 

- -‘I _ classes voor het beheer 

Van lljsten met 

Abstract Cbji toegangsrechten 

t _ (afbeelding 5), 

NofKObjeJftSecun'Iy 
Abstract Claw 




Ob^Secudty 
Abstroct Claw 


ONLINE BRONNEN 


UcrHiged Sptic« €n dtidere dfimo's bij F[L 2.0 

(Tiidn.mlcnisofl.cofti/tielbatTiewotk/tkiwilMds/^ 

WsQtnpfes/ 


.NET Zip Library 

wwksbaFpcode.net/OpenSflUKey^bmpJipLib/DflfnuItJspx 


Sicongly Typed Collection (>eneeQ! 0 f veor Vlstjel Studio JET 
2003 

wmv.totTbliJcl.cora/Corarnuniiy/llserStirnples/fletDikespx? 
id-3205{B?-]B0Me23-mi3A3f2EdFd2?A 


Website mt JO Enterprise librarv 
prudices-ijOtdofneUQrti/pioleeti/cntlib 


Cryptography Standaixi (PKCS), het sig- 
ncren van XML-dcK^umenlen en SSL- 
authenticatie. De reeds gcnocmdc clas¬ 
ses voor ACL*s werken niet alleen 
samcn met het bestandssysleem, nmar 
ook met Active Directory, dc registry en 
semafoien. Afbeelding 5 loont de hierar¬ 
chic van de uit ObjectSecuriiy afgeleide 
classes. 

Een andcr vcrrneldenswaardige class 
is Systf*ni.SeciirltySccureSirmg, die een 
siring versleuteld in het werkgeheugen 
opslaal, zodal bijvoorbeeld wachtwoor- 
den daar niet Icesbaar achterblijven. 



Listing S: OpvragBii wachtwoord 
von do gohrwlkor 

stitk lacrserUictirProEriStirt 0 

( 

(onU itridB USEtUDF - rhefittir; 

// Veibie itfki iiauUn 

Srstn.Secitritjf Jetijreltflni nUitifeord - net S)f$tei.Sc£[irTt)r,St£iiit- 
Slri0|( 

// -== kUipB 

CnseCelfftnio te; * nev C9it«leltrl»fa(}; 
i;9fl;al(*1lrftiPt»r bu uacUvaard v««r ftbryiher {0 in; % UrEiliNO; 
fbUe Uanote.lMdtejttrvil.le; is CswdeEfi.Efttefl 
( 

If ” c^iaUKeir.SieUi^ace) 

// Visiiii viiv eea teUa 
if 1VKi]taim). Lingtb > 0} 

CesoU.VriteP T; 

Ccfiseli.lpftrtiiyKeythrl; 

J 

lUe 

( 

terealeJeepO; 

1 

tht 

i 

If Invaeyea irifi een tekia 

VKb {m rd. ippendCbir Ue jr. ReirCjiir); 
tai»te*trild''*'j; 

} 

UiiaLi.liriteLiiiiO; 

Coisale.VritfLifite'llicItmrdle^gU; * « 

MK n Hoard. Lf cq t h. 1 aS t r i nfO); 
a Scbrilfhveitbini intcl^keUn 

Hicbtvaori.lokelleidOoiirU; 
a ™ traces sUrteii 

FracessStartlnto psi = oey ProcniSurtlakO; 
lisi.flseriiaqe - 


psi.Passvard ^ HiebttaoMj; 
psi.fileHaie - ^ard.EKt'^; 
psi.Argutaats = **; 
pil.UseShlLfiecvte - UUi; 
psi.laedUserPrafiU = ftbe; 

Caasol e. trite Li m(‘Starl proces CO) adder gebroiker 
psi JUeNaie, unilAHE]; 

Pracess.StafUpd); 

J 


Vender onderscheidl SerureSfnng zich 
van System String doordat je als ontwik- 
kelaar ecn eenmaal ingestelde waarde 
alleen nog met AppendChar(}, Remove- 
Ai{) en SetArQ kan wijzigen* tenminste 
/.olang de siring niet zelfs met Make 
ReadOniy() werd gemarkeerd. Ook kun 
je waarden in Itet werkgeheugen wissen 
(CIcait)). Er is niet in vwrzien dat je de 
inhoud van ecn Setw^eString kunt uitle- 
zen. 

De lKH)rcJtaak van SecureString is het 
overhandigen van dc versiculelde string 
voor iiet wachtwoord aan een class die 
een wachtwoord verwacht. Listing 5 
demonstreert dil dcK^r een proces onder 
een andere gcbniikersaccount te starten* 
Hclaas zijn in het Framework de classes 
die met SecureString overweg kunnen, 
nog erg dun gezaaId. Tenig converteren 
van ecn versleuteld object naar een nor- 
male string is hclaas niet zo cenvoudig: 
je hebt daaHoe de class System Jitmtime. 
InieropServices .Marshal nod i g. 

Conclusie 

De FCL 2X1 btedl op veci pun ten 
functies die ontwikkelaiirs in .NET 1 .x 


nog node hebben gemist* Desondanks 
laat iK)k de I CL 2*0 nog steeds mimte 
open voor toevoegingen, zoals je 
bijvoorbeeld kunt zien bij de door 
Microsoft zclf opnieuw uitgebrachte 
*NET Enterprise Library (zic kaclcr)* 
Exteine aanbieders hebben nog genoeg 
gclegenhcid vtx>r aanvullingen* En 
Microsoft zeif extk: dankzij dc NEV- 
uitbreiding 'WinFX' [2] komen er in de 
class library binnen afzienbare tijd nog 
eens zo'n 4500 classes bij. 

DR. HOLGER SCHWICHTENBERG 

is freelonce soflwareoichilecf, Irainer 
en auteL/r van diverse vokliferatuui over 
Windows en .NET. 

Literatuur 

1II Holger Sehwichtcnbcrg; Alomtegen- 
woortlig; De Extensible Markup Lan¬ 
guage in .NET 1 Tame work 2*0; iX 

1/06, p* 22 

121 Holger Schwichtenherg: Vuurwerk: 
Microsoft Professional Developer 
Conference 2005; iX 1/06, p. 14 Jj 


WinFX - niet zomaar een uitbreiding 


WinFX is een op Managed *NET-code 
gebaseerde class library, die het huidL 
ge Framework sterk uitbreidt. 
Oorspronkelijk was WinFX alleen 
voor Longhorn ontworpen* Het bestaat 
rnomenteei uit vier onderdelen: Win¬ 
dows Presentation [‘oundation (WPF, 
codeiiaam Avalon), Windows Com¬ 
munication Foundation (WCF, code- 
naani Indigo), Windows Workflow 
Foundation (WWF) en Microsoft Shell 
(MSH). Met uitzondering van de Win¬ 
dows Workflow Foundation vervan- 


gen de bovengenoemde onderdelen 
andere programmeerconcepten. WPF 
koml in de plaaLs van Windows 
Forms, WCF is de vervanger voor 
.NET Remoting, ASP*Net Webservi- 
ces en COM-i-. MSH vervangl het be- 
kende commandline-window* 

Op dit moment is een voorversie Ver- 
krijgbaar die op .NET 2*0 en 
Visual Studio 2005 is gebaseerd: 
rrisdn an icrosoft .coni/windows 
vi sta/ge ithc beta/ defau 11 *aspx. 

Zie ook iX 01/2(X)6, p*38* 
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bs, Sam 
Spitzner 


Tutorials - Refereed papers - Invited talks - Keynote - Social event 
Guru Is In sessions - BoF sessions - Free Software Bazaar - Exhibition 


We’re pleased to invite you to attend the 
SANE 2006 conference. This time we're 
offering 3 days of training, followed by a 
2-day conference program filled with the 
latest developments in system admini¬ 
stration, network engineering, security 
and open source software, and practical 
approaches to the puzzles and problems 
you wrestle with. You’ll also have many 
opportunities to meet other system 
administrators and network (security) 
professionals and chat with peers who 
share your concerns and interests. 

Monday, Tuesday and Wednesday are 
your true opportunity for in-depth study! 
For three days, choose among five 
tracks of tutorials, covering topics like 
DNSSEC, IPSEC, VoIP, MySQL, wire¬ 
less authentication, firewalls, DNS, iPv6, 
Linux kernel and general UNIX systems 
administration, led by experienced and 
respected instructors like lijitsch van 
Beijnum, Walter Belgers, Joost van Dijk, 
Rudi van Drunen, Arjen Lentz. Radia 
Perlman. Jim Reid and Ted Ts'o. 


Thursday and Friday you will, after the 
keynote, be able to choose from two 
tracks of interesting presentations: the 
top-notch invited talks or the ground¬ 
breaking refereed papers track. Hear 
about system administration, network 
engineering, wireless networks, security, 
cryptography, honey nets, computer 
forensics, the biometric passport, 
modem file system techniques. TCP/IP 
internals, leading edge developments, 
the use of open source software, 
OpenSolaris and so on. 


You will find a remarkable fine-up of invi¬ 
ted talks speakers, including Michail 
Bletsas, Bill Cheswick, kc daffy, Steve 
Crocker, Casper Dik, Bart Jacobs. 
Leffler, Radia Perlman, Lance 
and many more. In parallel to these two 
tracks you will find the expert-led "Guru 
Is In" sessions and the attendee BoFs. 
Wednesday evening features the Free 
Software Bazaar. 
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De nieuwe taalelementen van C# 3.0 


Voorpremiere 


Michael Stal 

In September presenteerde Microsoft op het podium van 
de PDC-ontwikkelaarsconferentie voor het eerst de 
toekomstige C#-versie 3.0 met als codenaam 'Orcas*. 
Het nieuwe C# speelt systematisch leentjebuur bij de 
functionele programmeertolen en manoeuvreert zich uit 
de positie van Java-broertje naar een zelfstandige, 
trendsettende programmeertaol. 


B e evoliitie vi\T\ abjecl-aricnlatic 
als paradigma moest wel ooit 
Icidcn tot ccn versmelting met 
onderdelen uil de functionele lalcn. 
Die uitspraak deed Matthias Felleisen 
van de Northeastern University uit 


Boston al op de ECOOP 2004 (Euro¬ 
pean Conference on Object-Oriented 
Programming) in Oslo. De experimeii- 
len die talen als Ruby en Smalltalk al 
jarcnliing uitvoeren, beginnen nu ook 
hun invloed te krtjgcn op C#. Zo staat 


versie 3.0 van Microsofls objeclgeo- 
rienieerde variant op C impliciet gety- 
pcerdc variabelen toe, Je mag variabe- 
len zonder type defmiercn, zolang er 
aan de rechterkant van de declaratie 
maar een initialisatie-instmctle piaats- 
vindt. Aan de hand van het resultaatty- 
pe kan de compiler het datatype voor 
de variabele dan automatisch afleiden . 
Dit prineipc, dal ouk bij generieke 
daiatypen voor delegates gcbruikl 
wordl, staat ook wel bekend als type 
inference. In plaats van 

VQf cust =* new Customer!); 
itring name - "Mlcho"; 
int resull = 42; 

ifst[] K « new Int!] j t(2,3,4,5|6,7,8^9]; 

kun je dank/.ij type inference net zo 
goed schrijveiii 

vor cost = new Customer(); 

// user defined class 
vor name ** "Micho"; 

// een siring 
var rssuh = 42; 

// een integer 

var x = new IH l|2,3,4,5,6j7,8,9}; 

// sen rij van inlegers 

Hicrdm)r zijn alle definities waaruit 
de compiler het variahelelype niet kan 
afleiden dus verboden: 

vor a; 

// Fout: geen type herleidboor 
vqr b = null; 

// Foul: null heeft geen type 


ObjectiniHalisatie 

()m impliciet getypeerde variabelen 
voor user-delined clas^ses en collec¬ 
tions te declareren, brcidl Of 3.0 de 
mogclijkhcdcn van object-initialisatie 
uit, Stel dat jc een class Customer 
hebl: 

doss Customer ( 
public stn'f^g Slole; 

J 

dan is bij variabele-declaratie een 
directe instantiering loegcstaan: 

var c = new Customer!) { 

Stole " “Bovorlo" }; 

V<H)r collections, die als Ust<T> 
als interface System.Cullectians. 
GenericJCollectian<T> impicmente- 
ren, kun jc ook directe initialisaties 
doorvoeren: 

vor list = new List<int>(l (1^2,3^4,5); 

InteresHant zijn impliciet getypeerde 
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clatatypen met het oog op aiio- 
nieme typen. zoals hicr: 

var res = new { i = 42, 

e = ^Micha* }; 

Console.WnteLinej*[0) en {!)", 
res.I, res.n|; 

Hei resultaat hiervan is "42 
eii Micha*. De compiler 
creeert hier via de new-opera- 
tor de insiantie van een interne 
klasse. Voor elk initial isatie- 
clcment in accolades beval 
deze intern gegenerecrclc class 
de insiancc-vanabelen en set- 
/get-methoden (zie listing I). 
Anonieme typen worden 
typisch gcbniikt op plaatsen 
waar methoden resiiltaien met 
dynamische datatypen oplcvc- 
ren* Het overluigcndsic en 
mecst gebmikte voorbeeld 
daarvan is een selechqmry in 
een relaiiondc database, die 
als resultaat sequenties van 
tuj^Is teruggeeft. Het zou 
nogal omslachtig zijn als jc als ontwik- 
kelatir nieuwe klassen voor elk denk- 
baar soort resultaattupels zon moclcn 
verzinnen. Het vulgcnde v(H>rheeld is 
wai complexer en speelt intensief met 
impHciete en anonieme typen: 

var persons ^ new [] ( 

new (nome = "Henry”, nember=47 ], 

new (nome = "DEona", f\ember"l 1 ) 

1 ; 

Anonieme datatypes met dezelfdc 
instance-variabclen ziin verder compa- 
tibel: 

vor een - new [ id - "Smith" ]; 
vor twee = new [ id = "Miller* }; 
een = twee; 

De compiler gebruikt aulomatisch 
dezelfde anonieme klasse voor varia- 
bclc een als voor twee. 

Extension methods 


Stel, je wil mcerdcre bestaande 
klassen met dezelfde methoden iiitbrei- 
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den, zelfs als da^ir gecn broneode van 
bcschikbaar is, dan had je daar tot nu 
toe twee opties voor: ofwel een sub¬ 
class afleidcn of het gebruik van een 
decoratesr-pattem, zoals bij stream 
classes gebruikelijk is, 

Beide varianlen zijn nogal arbeids- 
intensier Vandaar dat programmeerta- 
Icn als Ruby over taalkenmerken 
beschikken als mix-ins of dynamische 
uitbreidingen van instanties. C# 3,0 
vt>erl in plaats daarvan het concept van 
extension methods in. Daarbij imple- 
menteer je in cen statisehe klasse een 
of meerdere methoden, waarvan de 
eerste parameter met het keyword this 
is uitgerust: 

public ilQlic class Extensions { 
public static string To5(lhis object o) ( 
return *[" + oJoSlring([ + "]*; 

1 

1 

Nu kun je de methode ToS(} gebrui- 
ken voor alle klassen die compalibel 
zijn met het paramcterlype object. In 
dil gevai dus voor alle .NET-klassen. 


Listing 1 1 Anoniome dolatyibefi 

class _Anonyaugsl 

{ 

private irvt _i; 
private string _n; 

public int i { get C return _i ; ) set ( _i 
public string n C get C return „n ; y set { 


value ; > } 
n - value ; } } 


Voor impliciet getypeerde dalofypen genereert de compiler intern een 
anonieme doss met instonce-variobelen en get/set<metiiodeii« 


Het resultaat van 
Console. WriieLine(42.ToS|}); 
isdus "42\ 

Hcl impt>rterEn van extension 
methods uit andere namespaces gebeurt 
via de import van namespaces met het 
ii.vt>j^-kcyword. Je zou je nu knnnen 
af vragcn wat er gebeuit als de bijbeho- 
rende class van een insianlic cen metho¬ 
de be vat, waarvan de header met een 
gcVmportecrde extension method botsi. 
In dil gevai geven de prioriieitsrcgcls dc 
instantiemethodc vtxirrang boven alle 
extension methods. Op een vergelijkba- 
re manier overschrijven dichlcrby dc 
klassendefinitie liggende extension me- 
thtKJs verder naar buiten liggende. 

Anonieme methoden hebben al in 
versie 2.0 van C// bun opwachting 
gemaaki. Dit st>ort methodes rruiakt het 
mogelijk om naamloze metliixlcs op 
ad-hoebasis te defmieren, wat o,a. een 
vcMtrdccl is bij het opzetten van eveni- 
handlingmethoden, Staai er bijvotirbccld 
in een progratniiia de volgcndc delegate- 
dec laratie: 

delegoie T D<T> (T paraml; 

dan kun jc in een toepassing een 
anonieme methode instantieren en 
gebaiiken: 

D<ini> dg delegotejmt poramlt 

return param + 1; ); 
ConsaJe.WriteLine(dg(4l |); 

// indirecte oproep von de ononieme methode 

Als resultaat levert de oproep ‘42\ 
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Listing 22 Ejipression Tr»o 

E3(preasiotv<Fijnc<int,bool» filter ^ n => £5*5)<5; 
BinaryE^tpression It = (BinaryExpression} filter.Body; 
BinaryExpre^sion luU = £BinaryEipressionJ It.Left; 
ParaieterExpressioo eo = (ParaseterEstpression) ftuU.Uft; 
C0n$tai)tExpres$ion three = UonatantExpressioo) auU.Righ; 
ConstantEKpressiot^ five = (ConstantExpreasion) it.Right; 
Console.MritcLine(M(0> ((I) CZ) <5)} H}}\ It.HodeType, 
luU.MadeTypej^ ep.Maie^thffce.Value, five,Value); 


analyseert hcl programme deze boom 
en print hem als een Lisp-aduige 
strucluur op de console: 

|LT|Muliiplyn3151 

Uij deze 'Tour de Orcas" zou je jc 
zo lang/iimcrhand kunnen afvragen of 
al deze fraaie features nict vooral 


No de onolyse von ii|ri boomstfiiciuur geefi het programma als uitvoer op de 
console de Lombdo-expressie als Lisp-ochtige sirucfyur. 


Lambda-expressies 

C# 3.0 imrodnceert zogcnaamdc 
Lainbda-expressies, die uit de wcrcld 
van dc functionele programmeeilalen 
stammen. Bigenlijk ztjrgcn deze cr 
vooral voor dat anonieme methoden 
compacicr en preciezer gerepresen- 
teerd worden. Ken Lambda-cxpressic 
besiaat uit een, optioneel door haakjes 
begrensde paranielerlijsl, gevolgd door 
cen expressie of een instrudicblok. 
zoals bijvoorbedd 


voorstelt dat equivalent is aan de 
Lambda-expressie, De Lambda-ex- 
pressie 

(int x] => X + 1 

komt dus overeen met: 

delegote mt Oelega!eTyp[int i) 

Volgens de laalspecificaiie van C# 3,0 
zijn expression trees ’’efficienic 
inmenwry data representations van 
lambda expressies, die de structuur van 
de express’te iransparant en cxplicici 
maken". Een voorbeeld om dit te ver- 


bedi^eld zijn als academische vingeroe- 
feningen voor fans van functionele 
talen. Zou de verwende C^-ontwikke^ 
laar, die toch alles al heeft, hier warm 
van worden? Ja, want het nut hiervan 
wordt zo meteen duidelijk, Objeclgeo- 
rienteerde programmeertalen als C# 
bczillcn modclicchnisch een uitge- 
kiend instrumenlarium, maar laten op 
andere terreinen wal zwakles zicn. 
VcrbeLeringspoientieel zit o.a, in het 
opvragen van hierarchischc en relatio¬ 
ne le gegevens. Het nog Jonge X Query 
en hcl des ic fossielere SQL laten zien 
in welke richting hei op de lange ter- 
mijn zou moeten gaan. 


D<Enl> dg = parorri poram + 1; 
Console.WrjfeUne(dg(411]; 

Ook in dit geval luidt het resultant 
‘42% en ook hier kunnen de parameters 
of impliciet getypeerd of met explicic¬ 
le lypegegevens uitgenist worden: 

(ini op 1, ini op21 -> op 1 + op2 

Let cr bij Lanibda-expi'essjes we I op 
dat deze onderworpen zijn aan de con¬ 
text van de declaratie-instantie. Als in 
het laatste voorbeeld het omliggendc 
geldigheidsgebied tK)k declaraiies van 
‘opT en *op2* zou bevatten, zou de 
compiler foutineldingen retoumeren. 

Maar wal is nii het verschd tussen 
traditionele anonieme meLhoden en 
Lambda-expressies, afgezien van dc 
mooicre schrijfwijzc? Wei, ten eerste 
zijn de parametertypen van Lambda- 
expressies impliciet door type inferen¬ 
ce te herleidcn, Icrwijl Je btj anonieme 
methoden expliciet dc gcbruikle para¬ 
metertypen moet vermclden. Verder 
staat in de romp van een anonieme 
methode altijd een insLructieblok, ter- 
wijl een Lambda-expressie ook een 
cnkclc instructie kan bevatten: 

Voorbeey () => Console,WrileLjne("HeJlo, 

Bovendien kun je een Lambda- 
expressie die uit ddn insiructte“bestaat 
in een expression tree omzetten. Met 
expression trees kun je een Lambda- 
ex pressie weergeven als een boom- 
structuur van liei type Sysiem.Query.- 
Expression<DelegateType> , waarbij 
DelegateType bet delegate-datatype 


duidelijkcTi: 

FunG<int,inl> f = □ -> o I; 
Expression<Func<mf inl» e g a+1; 
Console,Wfiletme|el; 
Console.WriteLinele.&ody.ToSlrmgd); 

Daaruit volgen 
hi Add(aJ) 

en 

AddloJi 

Het delegate-type fimc <lnljnt> 
stamt uit de namespace System.Query 
en is met methoden instanticerbaar die 
cen integer als enige parameter bezit- 
ten en die ook integers als resuUaat 
geven. De Lambda-ex pressie a a 
+ / levert het met 1 opgelioogde argu¬ 
ment als rcsullaat lerug. Terwijl de eer- 
sle oproep van Console,WnteLinefe) 
leidl lot scherm uitvoer van \at 
Add(aJ), wal bij Ruby- en Smalltalk- 
ontwikkelaars tot een deja vu zou moe¬ 
ten leiden, geeft de tweede oproep 
Console. WriteUneie.Bady.ToSinngl) j 
de uitvoer Add(a,l). Het voorbeeld in 
listing 2 is ontleend aan de evaluatie- 
installatie van de C# 3.0-compiler, 
Allereerst vormt het een expression 
tree van de Lambda-expressie. Daama 


Databasequeries met 
LINQ 

Precies daarop mikt dc Language 
Integrated Query (LINQ), die bestaat 
uii cen reeks van laaluilbretdingen in 
en VB en uit enkele class libraries, 
dc zogcnaamde .NET Standard Opera¬ 
tors, Bij de taalexlensics gaat het om 
de nieuwe Query Expressions, Ook 
hier cen voorbeeld (listing 3): in een 
list van integers seleclecrl dc selectie- 
ex pressie prccies die waardes die door 
twee deelbaar zijn* Als resultaat Icvert 
de query . 

LINQ staal bdemaal los van SQL* 
Via een interne iterator gcnerccrl de 
ymni-instructie een sequeiitie van data. 
Daama filterl de w/jere-in.structie daar¬ 
uit bepaalde elementen met cen btK>lc- 
sc expressie. Als laatste bepaalt de 
je/erf-clause de gedaante van het 
resultant door projectie-atbcelding per 
veld. Intern vertaalt de compiler dit 
naar instruciies met lambda-expressies 
als parameters. Bovenstaandc from- 
where-select clause ziet er intern uit als 

var y = inlUsl 

. Where (i t % 2 == 0) 

,Setecl(i => i]; 


1 - 

mtn ifJtList = w 

var y = froni f in intLisl trhere i w == 0 select i; 
foreach Uar i In y) Console. 


De query-expressie selecteert de gefallen uit de lijst die door 2 deelbaar xitHi 
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listing 4t Query Eitpreislonf 11 

var tnrytscts = new [] { 
neu Contact ( naie = "fred", id= 3}/ 
ney Contact { nane = "BBrnjf'% id = hi), 
new Contact £ name ^ "Dino"^ td = 13 ) 

>; 

var ci = froi cc in contacts 
yhere Uc.naie.CoipareTo{"f'') < D) 
orderby ccJd ascending 
select cc^fiaie; 

foreach (var cc in cl) Console.Mrite('(0)",cc); 


orderby stoat hier impliciet voor een exten* 
sion method* 


en deze Lambda-express ics wor- 
den door dc compiler weer omge- 
vormd naar een delegate-instrucUe. 
Where en Select zijn naniclijk exEcn- 
sion methods in System.Query voor 
elk type dat de interface lENurnera- 
ble<T> ondersteunt. 

Hier wordt duidclijk dat bovenstaati¬ 
de nieuwe Laalconstructies de weg 
banen voor Query Expressions. In dc 
je/ec/-expressic worden afhankelijk 
van de gewenste resultaattupels nieu¬ 
we anonieme klassen gegcncrccrd. 
Listing 4 resulteert daarom in de nit- 
voer van ‘Dino Bamy'. 

Ook het daar ingevoerde orderby 
staat impliciel voor cen extension 
method. Dc tot nu toe uitgelegde 
mogelijkhcden vormen maar het topje 
van de ijsberg, maar geven je een 
voorgevocl over het ermee verbonden 
potcnticel. 

Dc programmavoorbccldcn over 
Query Expressions lijken te snggere- 
ren dat het slechts om queries aan 
interne datastructuren in het geheu- 
gen gaat. Hier komt het op LINQ 
gebascerde Dlinq (‘LINQ for Rela¬ 
tional Data’) in het speL dal databa- 
sequeries mogelijk maakt. Strikt ge- 
zien rnoet jc Dlinq puur zien als de 
tigstc component van ADO .Net, dil- 


Taalvergelijking 

Java 5 

C# en VB 

Generics 

sinds NET 2.0 

For each lus 

sinds .NET 1.0 

Autoboxing 

sinds .NET 1.0 

Typesofe enums 

sinds .NET 1.0 

VQfiobel parameieraar\tol 

sinds -NET 1.0 

Annotations 

sinds NET 1.0 

Statisebe imports 

sinds .NET 1.0 

Beschikbaorheid van 

de In Java 5 toe- 

gevoegde Functies in 
en Visual Basic 

de .NET-raleti C# 


maal met als doel om een prettige 
overgang van oude ADO.Net- 
appHcaties naar de nieuwe LINQ- 
wereld voor te berciden. DLinq 
converteert query-operatoren 
naar queries vwr de onderliggen- 
de database. 

Ook XLinq (VLINQ for XML 
Data’) is gebaseerd op LINQ, Het 
definieert aan de cnc kant een 
class library om op functionele 
wijze XML-documenten te kun- 
nen bouwen en aan dc andere 
kant een comfortabcle XPath-achtige 
querytaal voor XML-dociimenten 
(wat te verwachten was gezien de 
verwantschap met LINQ). 

Een beschrijving die enigszins 
rceht doet aan DLinq en XLinq valt 
buiten de context van dil artikeL 
omdat het niet om C#-uitbreidingen 
maar om nieuwe framework-classes 
gaat die gebaseerd zijn op dc nieuwe 
C#-onderdelen. Degenen die meer 
widen weten moeten zeker http:// 
rnsdn .micros f}ft .com/libra ry/en-us/ 
dndotriei/htmi/linqprojectovw.asp en 
http: //msdtuni crosoft xottt/ne iframe 
work/future/anq/ lezen, waar naast 
alle informalic ook een video-inter¬ 
view met de C#-uitvinder Anders 
Hejlsberg te zien is. Momcnlccl kun 
je alleeii een evalualieversie voor de 
RTM-rclease van Visual C# 2005 en 
Visual Studio 2005 Professional 
downloaden: een update zou binnen 
afzienbarc tijd beschikbaar moeten 
zijn, (De evalualieversie wcrkl ook in 
de VS2005 fmaL wcliswaar zonder 
projecttcmplate.s, maar in de Win- 
dows-programmamap ondcr LINQ 
Preview’-map werken dc Solutions 
probleemloos.) 

Conclusie 

Wie dacht dal dc objcclgeorien- 
teerde wereld nu we I was uitgeevolu- 
eerd, krijgt met C# 3.0 zijn ongclijk 
bewezen. Taatelemenlcn uit functio¬ 
nele programmecrtalen komen staps- 
gewijs vanuit de academische proef- 
luinen in het blikvcid van 
doodgewoiic onlwikkelaars. Er zijn 
Icnslutte innovatieve oplossingen 
nodig voor taken die ook in 2006 nog 
niet naar voile tevredenheid worden 
opgclosl, zoals die rondom data- 
queries. In de nieuwe gloort dat 
potentieel dankzij genericke dataty- 
pen en een algcmeen objectge-oricn- 
Lcerd [ypesysteeni. A1 zal het nog we I 
enige tijd duren voordat de nieuwe 


Nog genoeg moois 
in C# 2005 


Er sraan ons in Cll 3.0 mooie 
dingen te wachten, maar ook van 
het huidige C# 2.0 worden veel 
nieuwe features vaak nog niet 
gebruikt. Verreweg de belangrijk- 
sic uitbreiding daarin is de intro- 
ductie van genericke klassen ofwel 
generics., afgeleid van de templates 
uit C++, De gebriiiker van een 
class kan bij de declaratie van een 
geiierieke variabcie of de instantie- 
ring van een genericke class het 
datatype opgcven dat dc class 
gebruiken moet. Daarvoor zijn we I 
extra type para meters iiodig. Dank- 
zij generics zijn ook nuikihie types 
mogelijk* zodat jc ook niet-poiii- 
tcrlypen de waarde nuU kunt 
geven, Ook is er een nieuwe 
operator ?? voor (voorbeeld: int? 
X - nidi; a ^ x?? 0). Met de derdc 
nieuwe feature, partial classes^ 
kun je de code van een class in 
meerdere elassdefinities opdelen, 
die zich in vcrschillende bestanden 
kuiinen bevmden, Daardoor wordt 
gegenereerde code makkelijker te 
beheren. Ook nieuw zijn anonieme 
methoden, zodat bijv. een instruc- 
lieblok direct aan een eventaOian- 
delingsroutine kan worden loege- 
wezen met het keyword. 

Als meerdere events dezelfde code 
aanroepen, moet de implementatie 
van de anonieme methode zicli 
beperken tot dc oproep van een 
andere methode. Tensloite is er 
een nieuwe iteraior-implementatie 
genaamd 'yield continuations' met 
de yfeM-instructie, die net als 
return een waarde teruggecIL Het 
verschil is dat de CLR bij de vol- 
gende oproep de methode niet aan 
het begin van de routine start, 
maar na dc laaisi uitgevoerde 
yt+W-instructie, 


taalkcnmerken volledig in de mindset 
van untwikkelaars zijn doorgedron- 
gen. Ai wat goed is kost tijd. 

MICHAEL STAL 

is Senior Principal Engineer btj Siemens 
Corporaie Technology op hei gebied 
von Middlewore & ApplicoHon Integro- 
lion. ^ 
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Virtueliseren van servers 



V irtuele machines veroveren dc 
rckenccnlra, maai’ ook de test- 
omgevingen van bcheerders eti 
ontwikkelaars. Gevesligde produclcn 
zoals die van VMware [i] en Microsoft 
Virtual Server |iil (zie 'Gegevens en 
prijzen’), reproduceren de hardware 
van complelc computers binnen een 
eiikele computer in zogcnoenide virtu- 
elc machines (VM), Mecrdere van die 
VM's kunnen parallel en onafhankelijk 
in afgeschcrmdc omgeviiigen op de 
echie hardware draaien. Icdcrc VM 
tunctioncen daarbij als een volwaar 
ge computer, waarop je een ander ga^ 
besluringssyst^m kunl installeren. 

Hel grote voordeel is de hardwai^ 
onafhankelijkheid van de VM's, nan 
gezien de virtuele apparaten steeds het- 
zeltdc blijvcn, zowel bij bet snel 
maken van een nieuwe server door 
eenvoudig een voorbeeld tc kopiereiip 
als bij het maken van een 'disaster 
recovery' door de virtuele harde schijf 
die zicli in cen conlainerbestand 
bevindt tc back-uppen. Bij het testen 
onderKtcLini het virtualisatieprogramma 
hcl iiistellen van een hcrstclpunl door 
met cen muisklik een snapshot te kun¬ 
nen maken. Complete omgevingen zijn 
met Suspend cn Resume in enkele 
seeonden opgcstart. 

Virtuele voor- en nadelen 


VMware 
Server in de praktijk 


virtuele piloten 


Sven Ahnert 


Tegenover de voordelcn slaal e^n 
nadeel: voor cen VM kiin Je allecn 
gebruikmaken van hardware die een 
virtual isaticlaag bcschikbaar stelt. 
Daardoor ontbreken ISDN-kaarien, 
FireWire en cen volwaardige grafische 
versneller. Ook kun je geen dongles in 
cen PCl-slot aanspreken. Tot nu toe 
konden virtualisaticprogranima's aan 
elke VM slechts maximaal 3,6 GB 
RAM-geheugen toewjjzen en kon 


J?-TRACT 

• VMware Server biedt virtuali- 
satie von servers onder Win¬ 
dows en Linux* 

• De server zelf kan zowel 
onder Linux als onder Win¬ 
dows draoien. 

• Een aantai toots vereenvoudi- 
gen de corTfiguratie en het be- 
beer. 


Tegenover de voordelen van een virtueel systeem stoat dot je 
jezelf met nieuwe, soms complexe materie meet bezighouden. 
Toch is het werken met virtuele computers eenvoudiger dan je 
op het eerste gezicht zou vermoeden. 


alleen de ESX Server van VMware aan 
een VM nicer dan CPU beschik- 
baar stellen. De VMware Server LO 
kan cchler m>k met dualcore-systemen 
overweg. De overhead voor de virtu- 
alisatie leidt in een VM echtcr wd lot 
vermindering van de performance* De 
host meet tmk extra beveiligd zijn, 
uangezien dat de 'single point of failu¬ 
re' is* 

Project vjrtuele workshop 

Op de Virtuele kopie van een pro- 
ducticserver kan een beheerder zonder 
gevaar nieuwe patches of complete 
migraties met echte gegevens en 
gebruikers lesten, Daarnaast leert bij 


via de virtuele machines met system en 
am te gaan, voordat hij deze kriticke 
services deftnitier loevcrlrouwt. 

Hen voorbeeld is de migralie van 
een NT4-domein naar Windows 2003* 
Je kunt echter ook prima een overstap 
naar een Liniix-server of naar NetWare 
in dc virtuele pilol-onigeving uiige- 
bretd uitproberen, Dat begint met het 
installeren van een schone NT4 
Domain Conlruller (DC) als virtuele 
lestmachtne, waarmec je de migratie 
met een herstelpunt in alle rust kunt 
uitvocren. Later kun je kopie^n van 
meerdere productieservers in de te- 
stomgeving opnemen en daar virtueel 
aan het netwerk koppelen. 

Als software kun je VMware GSX 
Server 3*2J en Microsoft Virtual Scr- 
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vcr20()5 R2 gebruiken. Dczt bedienen 
een breed spectrum aan gasLsystcmcn, 
zijn eenvoudig ic bchcren en oucier- 
slcuncn via het daaronder liggendc 
bcsturingssysteem een breed hardware- 
pa let. VMware’s GSX Server wordt 
niet verder ontwikkeUt, inaar is ver- 
vangen door de gratis VMware Server, 
die op dil moment nog als Beta 1.0 
door het Icven gaat, maar die in hel 
tweede kwarfaal van 2006 als volwaar- 
dige versie te downloadcn zal zijn. De 
prijzen van Micro softs Virtual Server 
zijn 80 tot 90 proceni gedaald. Onze 
keuze vicl op de VMware Server in 
plaats van de Microsoft Virtual Server 
vanwege zijn flexibelere netwerkopiies 
en het groter aantal ondersteunde gast- 
en host-besluringssystcmen. Boven- 
dicti zorgt VMware via zijn grote broer 
ESX Server voor een mogeiijkc uil- 
breiding iiaar hei datacenter-niveau. 

Voor het hostsysteem maakl het niel 
echt uit of er Windows oF Linux op 
draait, omdal de pn>cedure voor beide 
syslcmen in principe hetzelfde is. Om 
meerdere VM’s parallel Ee kunnen be¬ 
dienen inoel de hi>sl het liefst uitgemst 
zijn met 4 GB RAM-geheugen. Mcer 
werkgeheugen vereist de PAE-onder- 
steuning van de Windows Advanced 
Server of de 64-bits versie op geschikle 
hardware. Een CPU met ten minsle 
I Gl Iz is voor een IcsLsysteem voldoen- 
dc cn een dual-board met snelle proces¬ 
sors voorkomt frustraties als hcl om 
een groter project gaal. in het ideale 
geval bcschikt de host over gescheiden 
harddiskcontrollers voor het systeem en 
de VM's. Om later dc webintertace van 
VMware Server le kunnen gebruiken, 
rntJcE je ns instailereiu 

De setup van VMware Server ver- 
loopt gchcci vanzelf. Deze iiistalleert 
op het hostsysteem enkele nieuwe ser¬ 
vices en twee virtucle nelwerkkaarten 
- over dc functie daarvan later meer. 

Twee nieuwe snelkoppelingen op dc 
desktop getuigen van cen geslaagde 
installatie (afheclding !). De 'VMware 
Virtual Machine Console' (VMC) 
opent daarbij hetzelfde programma als 
de 'VMware Server Console' (VSC), 


Volbracht: Na hat instaUeren 
van VMware verschijnen 
™ ^ twee pictogrammen op het 
«« f bureayblad een voor de Vir- 
\ tud Server Console en een 
! voor de VMware Machine 
; Console. Deze dienen voor 
! het configureren van de VM's 
’ en respectievelijk de Server 
[afbeelding 1 )* 

maar heeft een extra parameter voor 
lokale host-toegaug. Oij dc VSC gaat 
het om een remote console voor het 
aanmaken, configureren en bedienen 
van de VM's, die ook op audere pc's in 
het LAN gei'nstaliecrd kunnen zijn. 

Behcerders kunnen via UTTPS en 
pnort 8333 toegang krijgcn U>1 de 
VMware Management Interface, Deze 
biedi cen ovcrzicht van de status van 
alle VM's en maakt extra insicllingcn 
mogeljjk, zoals hel vastleggcn van de 
siarivolgordc voor de VM's bij het 
opstarten van de host. Ocn API-inter¬ 
face voor COM en Perl evenal s de 
opdrachlregelLool vmware-cnid voor 


gebnitk in balchbeslandcn ronden het 
aanbod aan tools af. Op de website 
van VMware [i] zijn extra tools aan- 
wezig, bijvoorbeeld voor het direct 
toevoegen van een virtuele harddisk 
op de host, voor het importen van 
Microsoft Virtual Server VM’s of de 
gratis VMware Player voor het afspe- 
Icn van werkende virtuele machines. 
De Virtual Center, die niel gratis is, 
kan VM’s op meerdere hosts onder 
den uni forme interface beheren cn be- 
waken. 

Je eerste VM maken 

Na dc installatie is het zinvol om 
voor de loekomstige VM’s me teen een 
eigen directory aan te maken. Subfol¬ 
ders /Avals 'Testorngeving' en 'Produc- 
tie' scheppen overzicht in de virtuele 
wereld. Indicn mogclijk moeten de 
VM's op cen tweede harddisk geYnstal- 
leerd worden, zodat ze bij het benade- 
ren van gegevensdiagers de host niet 
hinderen. Via de menuoptie Host \ 


Soorten virtuele adapters 


Bridged: staiidaard stcit VMware 
Server een nieuwe netwerkkaart in 
als 'bridged'. Via het VMware 
Bridge Protocol tunnelL hel sysieem 
hel gegevensverkeer direct naar een 
fysieke netwerkkaart op de host. In 
het LAN verschijm de VM als een 
eehte computer, die onbeperkt be- 
reikbaar is en daarom een vrij IP- 
adres nodig heeft. 

NAT; via een virtuele netwerkkaart 
van het type NAT kan clke VM elke 
willekeurige netwerkverbinding van 
dc host van modem tot cn met 
UMTS gebruiken. Hcl verkeer loopt 
via de VMw^arc NAT Service en de 
VMware Network Adapter VMnetS. 
Alleen antwoordpakketten komen 
terug, direct aanspreken van de VM 
is alleen via 'port forwarding' moge- 
lijk. Alle VM's krijgen van de 
VMware DHCP-scrviee automa- 
tisch interne IP-adressen toegewe- 
zen, evenals een default gateway op 
de virtuele NAT-router. 

Host-only: een kaarl in de modus 
'Host-only' rnaakt via de logische 
adapter VMware Network Adapter 
VMnetl onheperkte communicaue 
mssen de VM en zijn host mogelijk. 


Daar hoeft geen fysieke netwerk- 
kaari voor aanwezig te zijn, VMwa¬ 
re verdeelt de interne adressen via 
DHCP, Een VM met een host-only 
adapter is in het LAN gewoonlijk 
niet zichibaar, maar je kimt hem 
wel via de host romcn, Daarmee 
kan een afzonderlijk LAN-segment 
voor de VM’s gemaakt worden. 

Custom: een flexible configuratie 
is mogelijk met een 'Ciistom'-adap- 
ter, VMware emuleert intern tien 
switches (VMnetd - 9), waarop Je 
de Custom-adapters kunt aansluiten, 
Een switch bouwt een virtuccl net- 
werk op, waarin alleen VM's die Op 
dczclfdc switch zijn aangesloten 
onderling zichlbaar zijn. Met 
Custom-adapters kun je volledig 
afgeschennde testnetwerken opbou- 
wen of fysieke nelwerkkaarten 
expliciei toewijzcn. Overigens is 
een Custom-adapter aan VMNctO 
precies hetzelfde als con Bridged- 
adapter. En een adapter aan 
VMNctI werkt als Host-only, een 
adapter aan VMNetS als NAT. De 
afzo n d e r I ij ke co n fi g u rat i ety pe n 

Bridged, NAT en Host-only bestaan 
cnkel en alleen voor een intuYlieverc 
bediening. 
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Virtualiseren van servers 



Probeerstadium: Solaris 10 geld! wel- 
iswaar nog ols *experimenteel\ maar 
je kunf het zonder meer aU VM iitstal* 
leren (afbeeiding 2]« 

Settings \ General kun je de standaard- 
folder instellen. 

Met een paar muisklikken kun je als 
bcheerder op de remote console via File 
\ New Virtual Machine ... je eerste virtu- 
ele server bouwen. Als je kiesl voor het 
configuratietype Custom lieb je volledi- 
ge conln)lc over aile instellingen. Na de 
ketize van het geplandc besturingssys- 
Iccm, een geschikte naam en een eigen 
directory vtx>r dc machine, worden de 
bevoegdheden vastgclcgd. Voor test- 
dtx^leinden hoeven VM's niet als 'priva¬ 
te’ gcdcclarccrd tc zijn en kunnen ze 
onder de account van een lokale beheer- 
der draaien. Daarhy tnoet je niet onno- 
dig vccl RAM-gelieugen aan de VM 
toewijzen, want allc machines moeten 
het fysieke geheugen met dc host delen. 
Onder Host \ Settings \ Memory kun je 
aangeven of een wissclbcstand (swap 
Hie) wordt toegepast. Op die manier kun 
jc mccr RAM-gclieugen toewijzen dan 
fysiek aanweztg is, echtcr wcl ten koste 
van de performance. De voorrnstell in¬ 
gen v<K)r dc nclwerkkaait en voor de 
I/O-adapter kun je v(H)rlo|ng gewoon 
oveniemen. 

Bij virtuclc harddisks gaat het om 
containerbestanden op cen gegevensdra- 
ger van de host, Alle sclirijf- en leestoe- 
gang van de VM verloopt via die con¬ 
tainers, waarbij hun besturingssysteem 
ze als nontiale harde schijven behandelt. 
Bovendien kunnen fysieke schijven 
direct worden gcinlcgrccrd. Maar dan 
mogen de VM en de host daar in geen 
geval gclijktijdig toegang toe krijgen. 
Beiden zouden anders cen vrije sector 
kunnen overschrijven die door de under 
wd gebruikl wordt. Daarom een waar- 
schuwing: gebruik tijden het experinien- 
teren nooit de systeempartitie van dc 
host als fysieke harddisk in een VM. 

Met Create a new virtual disk' nm\k 
Je een nieuwe harddisk, waarbij maxi- 
rnaal vier IDE-apparaten en zo'n hO 
SCSI-controllers ter beschikking staan, 
onafhankeSijk van de fysieke hardware 
van de host. Bij het gebruik van een vir- 
tuele SCSI-harddisk kan de driver- 
ondersfeuning in het OS van dc VM 
Ickort schieten; daarom moet je de con¬ 
troller cn het haiddisklypc die de wiziird 
voorstelt voorlopig accepteren. 

Verwijder je het vinkje bij 'Allocate 
all disk space nt)w', dan neemt het cen¬ 
tal nerbestand op de ht)sl slechLs zo vcci 
plaaLs in als deze aodtg heeft en zal deze 


naiu* behoefte groeien. In het andere 
geval reserveert dc VMware Seiner alle 
vrije mimte. Daardotir is het ct)nlainer- 
bcstaiid weliswaar nief meer te detrag- 
mcnleren, maar het neemt in de testom- 
geving onnodig veel plaaLs in beslag. 
Ben opdeling van de containerbestanden 
in segmenten van 2 GB via 'Split disk 
into 2 GB files' is nodig bij een FAn2- 
partilie of wanneer je de VM's later op 
een DVD wilt opslaan. Bovenal vereen- 
voudigt het de overdracht van dc virtu- 
ele machine naar een ESX Server. De 
keuze vtxjr een zinvoile naam voor de 
harde schijf, zoals 'nt4dc01_sys.vmdk' 
vcrgemakkelijkt de ijideling. Later kun¬ 
nen er nog meer harde schijven voor 
gegevens of voor een swap file bijko- 
mcn. De scheiding van gegevensdragers 
Icveil vixvrdclcn op bij het klonen en 
ook bij het werken met snapshots. Het 
TTiaakt een latere verspreiding over 
meerdere fysieke schijfsysiemen niakke- 
lijker. 

Besturingssystemen 
in de VM 

Het linkerdeel van de remote conso¬ 
le toont de aangemaakte vinuele machi¬ 
ne in dc lijst van de Inventory, rechts 
bereik je alle VM's via eigen tabs en 
daaronder verschijnt normaal gesproken 
dc bccfdschenninhoud (afbeeiding 2). 
Als een VM uitgeschakcld is toont de 
remote console de toegewezen hardwa¬ 
re, die de bcheerder van de host via de 
menuoptie VM \ Sellings op elk 
gewenst moment kan aanpassen. 

De knoppen voor Power Off, Power 


On en Reset werken net als de schake- 
laars van een cchle pc. De knop Sus- 
[jetid bevriest een actieve VM cn scha- 
kcll deze vervolgens iiit. Later kun je die 
VM bliksemsnel weer oiildooten en op 
precies dezelfde plants verdergaan als 
waar jc was gebieven. Dil bespaart een 
hoop tijd als je net de host hebt opge- 
start. 

Voor de installatie van de NT4-DC 
zorgt een opsiartbare Setup-CD in een 
cd-loopwerk, die VMware standaard aan 
alle VM's doorgeeft. Je kunt ook een 
ISO-image als CD toevoegen. Dat kun 
je doen bij de Settings van de VM of 
gewiX)n tijdens het gebniik via het klei- 
ne CD-symb(xil rechtS4>nder op de sta- 
tusbalk. Als de VM nicl vanaf CD wil 
slarlcn brengt de F2-toets je direct naar 
dc virtuclc CMOS Setup, waarin een 
wijzigiug in de bootvolgorde uitkomst 
kail brengen. Je kunt ook op de Esc- 
toets drukken om dil eenmalig toe te 
passen. 

Oni het toetsenbord binneu een VM 
te kunnen gebruiken moet Je eerst in het 
actieve vensler van dc virtuclc machine 
klikkcn. Met de toetscomhinalie 
Ctrl+AH keert dc focus dan weer temg 
naar het hostsysteem. Deze toetscombi- 
natie kun je onder Edit Preferences \ Hot 
keys wij/igen. In plaaLs van de combi- 
natie Ctrl+Alt-i-Del, hijv<H)rtx^ld in het 
aanmeldingsscherm van de VM, wordt 
de combinatie Ctrl-i-Alt-i-Ins gebmtkL— 

Na een geslaagde installatie van het 
OS nioet Je de VMware-t(x)ls op de 
nieuwe machine installeren. Deze bevai- 
ten onder andere drivers voor de mu is 
en VGA. Daama verkxipl de ftx;yswis- 
seling van host naar VM en omgekeerd 
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naaclloos, zonder te klikken en zonder 
Ctrl+AlU De drivers zorgen met name 
vcM)r het vltKiicnd kunnen werken met 
de muis, voor hanciige beeldschermreso- 
luties en knippen cn plakken lussen host 
cn VM* Hct al^tcmmen van de tijd met 
de host en oak het automatisch afsluiten 
van het OS in de VM , met of zondcr het 
uilvexren van eigen scripts, zijn andere 
functies van de VMware-tools, Via de 
nienuoptie VM \ Install VMware Tck>Is 
installcen de Server hct pakkcl auioma- 
tisch in het gast-OS. Bij Linux-gastsys- 
temen moet je wellichl eerst de X^Ser- 
ver afsluiten en ecn en ander handmatig 
uiLschakelen, zoals in de handteiding 
wordt omschreven. 

Updates en patches 

Aan de nieuw ingestelde domein- 
controller ontbreken dan allecn nog de 
service-packs, patches en program- 
md!%. Hicr komt de vraag naar boven 
hoe je bestanden met een VM kunt nil- 
wisselen, of eenvoudiger, hoe de VM 
t)p hel internet komt om daar patches 
op tc halen. 

In elke machine kan een bevoegde 
beheerder daartoc maximaal vier virtu- 
eie neiwerkkaarten inbouwen, Deze 
verschijnen binneii de VM als AMD 
PCNliT Adapter, waarvoor elk bestu- 
ringssysteem drivers meebrengt. Als 
alternatief installeren de VMware-hmls 
een gcoptimaliscerde driver voor een 
VMware PCI Ethernet Adapter, die de 
Server emuleert waiineer Je als net- 
werkkaarllype Vmxnef in plaats van 
Vlance’ kiest. 

Het type netwerkkaart (zie 'Soorten 
virtuele adapters') kun je tijdens het 
gebruik wtsselen, bijvoorbeeld rechts- 
onder in de statusbalk. De VM behan- 
delt dal net als hel vcrwisselen van een 
patchkabeh Zo kan een tester een ma¬ 
chine even vlug in een LAN hangen en 
hem bij storiiigen onmiddcllijk weer 
loskoppclcn. De AMD PCNet-driver 
toont als LAN-snelheid 1,0 Gbps, maar 
de Server luinleerL voor de VM's de 
daadwerkelijke fysieke snellieid van de 
aansluiting. De throughput hangt dan 
ook sterk af van de CPU van de host, 
Ecn gcdctaillcerde netwerkconfiguratie 


vcrschijnt ondcr Host \ Virtual Net¬ 
work Settings, Daar kun je 'port for¬ 
warding' voor cen NAT-adaplcr confi¬ 
gure re n, hct DHCP-bereik voor de 
interne netwerken wijzigen cn prccics 
vastleggen via wclke fysickc network- 
kaarten dc VM met hel LAN commii- 
niceen. 

Is dc configuratic van cen VM 
klaar, dan moot je een snapshot maken 
voordat je begint met het eigenlijke 
testen, Een snapshot slaat dc systeem- 
toestand van ecn VM op terwijl deze 
actief is, De VMware Server zet vanaf 
dal moment alle schrijl'bcnadering tot 
de harddisk om naar een Redo-fde, 
Met 'Reven to Snapshot' worden alle 
wijzigingcn verworpen en de laatste 
systeem toe stand binnen een paar 
seconden hersield, 

Wil je een bcpaaldc harde schijf 
Legcn gegevensverlies bcschermen, 
dan meet je deze via de knop Advan¬ 
ced in de modus 'Independent-persis¬ 
tent' zetten. De VMware Server schrijft 
dan gewoon verder op de (virtuele) 
harde schijf, waardtx>r de gegevens bij 
een Revert behouden hlijven. Voor de 
eerste snapshot moet je over de hard- 
diskmodus Independent' beslissen, 
daama kun jc die toes I and niei meer 
wijzigen. Bij aanwezigc Independent 
harddisks functioneert cen snapshot 
ailcen nog als de VM zieh in uitge- 
schakelde toesiand bevindt. 'Remove 
Snapshot' plaaist de VM weer in de 
onbeschermde status zonder Redo- 
nics. Alle wijzigingcn worden dan 
vastgelegd, tenzij er eerst nog een 
Revert plaaisvond. 

In een testomgeving kan een migra- 
tie makkelijk plaatsvmden, want daiik- 
zij het hersielpunt kun je de eerdere 
status op ieder gewenst moment her- 
stellen. Voor een compleel tesinetwerk 
kunnen nog meer machines worden 
locgcv(K:gd dm>r bijvoorbeeld gewoon 
de map met een VM te kopieren, waar- 
door een volledigc kioon onlsLaat. Het 
volslaal cchter ook om alleen de virtu¬ 
ele systeemdisk te kopieren en in een 
nieuwe VM op te nemeii. Zo onLsiaan 
in enkelc minuten netwerken met 
meerdere clients en servers. Na het 
starten van cen gekopieerdc VM wtird 
je gevraagd naar cen nieuwe 'unique 
identifier (LIUID)’, Met 'create new ...' 
wijzigl de beheerder onder andcrc hcl 
MAC-adres van de geemuleerde net- 
werkkaart, zodat die niet in conflict 
komt met de oorspronkelijkc VM. Net 
als in de cchlc wercld hceft elke kioon 
een eenduidig IP-adres en een compu- 
ternaam nodig. En voor zover een 


besturingssysteem aan liccnties is 
gebonden, mod er vcxir elke actieve 
VM een eigen licentie aanwezig zijn, 

Fysieke machine overne- 
men 

Een migratie in een pure testonige- 
ving is weliswaar icerzaam, maar nict 
erg vcclzcggcnd. Pas met cchtc toepass- 
ingen, bestandsstructuren en gebruikers 
kuji Je bet migraticconccpl gnmdig 
ondcrzockcn. 

Met VMware Server kun je van een 
echte machine een virluclc kUnm 
maken, om in cen eigen aigcschermd 
netwerk de werkelijke omgeving 1:1 te 
reproduceren - inclusicf virtuele clienLs. 
VMware en andcren bieden vtxw deze 
zogeheten P2V-meihode ('physical to 
virtual') tools aan, waar je wel v(H)r 
mod belalen. 

Indien nixlig moet in dc gekloonde 
VM de UAL (Hardware Abstraction 
Layer) onigezet worden naar ecn single- 
epu, en mtietcn ix)k oude drivers veiivij- 
derd worden. In veel gevallen werkl bet 
overzdten de eerste kcer, maar knclpun- 
ten zoals het aanpassen van hootJm^ 
verschillende htirddiskstructuren cn dcr- 
gelijkc liggen op dc locr. 

Na uitgebreid te proefdraaien kan dan 
in een weekend de geplande migratie 
plaatsvinden. Je m(x:t daarbij wel gixxi 
overwegen of je hcl produedesysteem 
niet moet virtualiseren. Als alle servers 
in VM's draaien verkxipt de migratie net 
m makkelijk als in de testomgeving: als 
er wat misgaat, kun je met een Revert of 
met het overzetten van ecn rescrvckopic 
alles weer hcrslellen. Er zijn echter ook 
andere hulpmiddelen, zoals de nieuwe 
VMware Player, Hel artikel op p. 96 
gaat daar dieper op in cn neemt ook 
VMware Server onder Linux onder dc 
loep. 

SVEN AHNERT 

begeleldt als medewerker van een 
systeemhuis middenslonders op bet 
gebied van netwerken en serversys- 
temen. ^ 

GEGEVENS EN PRIIZEN 

VMware Server 1 »0 Bela 

Windows groHs 
Linux gratis 

Microsoft Virtual Server 2005 R2 

Standord; € 80 [lot 4 processors) 

Enterprise € 160 [onbeperkl] 
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servers 


VMware Server op 
een Debian-host 

Slanke 


In het vorige artikel werd 
met VMware Server een 
virtuele machine onder 
Windows ingericht. Deze 
keer staan virtuele 
machines onder Linux in het 
middelpunt. 


B ij hel virlualiseren moet je als 
b*isis een platform hebbcn, 
waarbij je mag kiezen welk 
besturiiigs.syjilcein die rol op zich moci. 
nemcn. Een voordeel van dc produeten 
van VMware is de ondersieunhig voor 
Windows en Linux als hosL Tussen de 
bediening van beide versies bestaat 
nauwelijks verschil en de virtuele 
machines zijn onder!ing compalibel. Je 
moet hier bij VMware cchter we! apar- 
te licenlics voor aanschaffen. 

V66r Linux 

Als er al cen scrvcrinfraslructuur op 
Linux-basis bestaat, dient vanzelfsprc- 
kend een open-source systeem als host. 
In een Windows-omgeving is vooral 
de prijs in het voordeel van Linux, 
zeker wanneer hel om nieer dan 4 GB 
werkgeheugen gaal: op een 32-bil sys¬ 
teem ondersteunen namelijk alleen de 
dure Enterprise Server en de Data Cen¬ 
ter Edition dc Physical Address Exten¬ 
sion (PAE). Andere pluspunten zi jn de 
hogcre resislentie tegen vinissen en 
een slanke installatic, die in minder 
dan twee minuten opstart, 

De comlbrlabcle bediening via de 
Remote Console van VMware zorgt 
ervoor dat je een compacte host kunt 


opbouwen, zotider grafische desktop 
(XII en GUI), Daamaast krijg jc met 
Samba makkelijk icKJgang tot bestan- 
den en apparaten van Windows-com- 
pulers, Een Linux-server is wk voor 
onervaren gebruikers als een testma- 
chine in een Mierosoft-omgeving te 
integreren. 

Voor het hostsysteem viel de keuze 
op Dcbian Sarge in de huidige versie 
3J met kernel 2,6,8. VMware onder- 
steunl deze Linux-distributie welis- 


i^-TRACT 

• Linux is voor de VMware 
Server een goedkopere oplos- 
sing, voorol wonneer het om 
geheugens von meer don 4 GB 
goot, 

• Zelfs voor onervaren Linux- 
gebruikers is het installeren 
VQfL een VMwore Server geen 
onmogeiijke opgave. 

• On d ef LLnUx tW]e Wn “ 
VMware Server met zijn gost- 
syslemen ook eenvoudig in 
helerogene omgevingen inte- 
greren, 


waar niet onieieel, deze is toch zeer 
geschiki als basis, Deze nieucommer- 
eicle disiributic hcefl viKiral door de 
stabiele werking van z.ijn server naam 
gemaakl, Aanwijziiigen voor de instal- 
latic onder SuSE-Linux zijn te vinden 
in bet kader 'SuSE als basis\ 

InsLallatie van het 
basissysLeem 

In eerste instantie is dit vooral 
bCxStcmd voor Windows-gebruikers die 
Debian nog nooit gcYnsLallcerd heb- 
ben, Na het downloaden en branden 
van de eerste distribuiie-cd kost de 
installatie maar cen paar minuten, Om 
in ieder geval meer dan 4 GB geheu- 
gen via PAH te kuiinen gebruiken, 
moet je de kernel opnieuw compileren, 
Een eenvoudige installatie van de stan- 
daarddistributic is dan niet voldoende. 

Door 'linux26' in te vueren start dc 
intuitieve installatie voor kernel versie 
2,6, Voor cen systeem dat als testorm 
geving moci dienen volsiaan gcschci- 
den partities voor swap, T en de virtu- 
cle machines, Indicn mogelijk moeten 
de VM’s om perfoTmanceredenen op 
een eigen harddisk ondergebrachi zijn. 

Aan bci cinde van de uitgevoerde 
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Pirsstop: no hel hondmoHg selecteren von pokkeHen moet je dfe aufomoHsch 
stortende aptitude afbreken cm geen onnodige dingen te instalieren 
(ofbeelding 1), 


configuraiie gaai hel bij de keuze van 
software cm dc apUe "Manual package 
sclcctinn'. Daar moet je de auEomatisch 
slartende apt Hade onmiddellijk met 'q' 
afbreken om niel onnodig veel pakket- 
tcn te installeren (zie afbeelding t ). 

Voor het instatleren van de weinige 
extra bemxligde modules voistaat een 
apt-get. Is niet de hele distributie op cd 
of dvd beschtkbaar, dan heefl de 
Debian-insiallcr ook een iuternetbron 
n(>dig. Oaarvoor zorgt base-coafig met 
de menuoptie "configure apt\ De 
gewenste bron neeml dc tool automa- 
tisch op in de lijst /etc/apt/sources. Een 
apt-get update werkt de lijst mel pak- 
ketten bij. 

Nultige aanvullende pak ketten zijn 
Midnight Commander voor het over- 
zichtelijk wcrkcn in hel bcstandssys- 
Iccm en de SSH-server voor de latere 
afstandsbediening via de command 
prompt, De insiallatic hicrvan vindt 
plaats via apt-get insmU me ssh. Ten 
slotre is nog een vast IP^adres nodig, 
want anders krijgl dc host een wisse- 
lend adres van een DHCP-server in het 
I.AN (zie "In het netwerk"). Op hel 
basissysteem kun je dc VMwarc Ser¬ 
ver installeren. 

Voorbereiding van de 
installatie 

Naast dc eigenlijke pmgramma*s van 
VMware heb je ook enkclc Linux-pak- 
ketten, zoals de kemelheader en de com¬ 
piler ncKiig, Als eerste moeten de beno- 
digde Linux-pakketteii in hcl systccmi 

apt-geJ initall kernel-headers $|uname ‘f) \ 
build-es^enlial xlibs-dev 

Vervolgens kun je de archieven van 
de programma's uitpakken, in ons 
geval werkten we met build 22088 van 
de VMware Server 1.0 Beta: 

mom\ /dev/edrom /mnl 
mkdir /install 
cd /install 

tor zxf / m nt/V M w are-serveF-e,x, P‘2 2088 tar. gz 
tar zxI/mnt/VMware-mui-e^x^p -22088.101,92 
umour^t /dev/edrom 


Met installaiiescripL van VMware 
necml het kopieren van alle bestanden 
in de juiste directory’s op zich. 

cd /I n sta I!/vm wq re-se rvernJ i strl b 
,/vmware-install.pf 

Daarmce wordl de VMware Sei-ver 
geconfigureerd en de VMware-module 
gecompileerd. Alle vragen kunnen met 
dc standaaRlopties worden beantwoord. 
Door /usr/hin/vmware-eonfig pi op- 
nieuw uit le voeren kun jc dc conllgu- 
ratie later op elk gewenst moment her- 
halen. 

Ten slotte moet Je ook dc webinter- 
face nog installeren: 

cd /InstQll/vnnwaFe-mut-disIrib 
7vfnwore4nstoll.pl 

Het commando /eic/iniLd/vmware 
stop I start beeindigt en start alle servi¬ 
ces van de VMware Server, het com¬ 
mando /etc/init.d/httpd.vmware stop I 
Start stuurt de wchinlerface aan. Bij 
het b<K)ten van de host verloopt de start 
automatisch. Met verdere beheer en de 
bediening kan de gebruiker vanaf dat 
moment op een willekeurige client uit- 
voeren. 

Vanuit de client gezien 

Eerst laad je de VMware Manage¬ 
ment Interface in de browser op de 


client en vervolgens haal je van de 
stiirtpagina de VMware Virtual Machi¬ 
ne Console for Windows (VMC) en 
installeer je die. Toegang tot de 
Management Interface krijg Je via 

haps://ha5todfei:8333 

Als nx>L kun Je in dc Virtual Machine 
Console tie VM^s aanmaken, starten en 
bedienen. Later kun Je als behcerder nog 
meer gebruikers op hcl IJnux-systeem 
aanmaken om de toegang tot de virtuele 
machines met bestandsrechten beler le 
kunnen conlroleren. 

Om ei^emis te vermijden mel bestan¬ 
den die groter zijn dan 2 GB inoelen vir¬ 
tuele harddisks in principe in segmenten 
van 2 GB worden vervaardigd. Op die 
manier kun Jc voltooide VM's later ook 
eenvoudig branden cn dtx^rgeven om 
biJvcKirbccId gebruikt te kunnen worden 
in de gratis VMware Player. 

In het netwerk 

Vastc TP-adressen conftgureren in 
/etc/nerwork/htterfaces 

#iface ethO inel dhep 
om\q elhO 

ilate ethO Enel static 
address 192.168 LIO 
lieimosk 255.255.255.0 

gotewoy 192,168,1,1 
in /ete/resolv.conf 


VINDPLAATSEN OP HET WEB 

nameserver 192.! 68.1 . 1 

Debian Sarge 

VMware-Downlodd [regisfratie) 
GSX-Server 

Web-Console 

www.tFS.debian.ejrg/releoses/sorge/debioninslaJler/ 
www.vmwa re. com /do m 1 oo d/ierver 

VMwore-server-Lfargz 

VMware'muE*.tar,g2 

Commando"s: 

ifdown ethO 
ifup ethO 
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Bestandssystemen 

Om ondersteuning voor SMB te 
installeren: 

ap^gel install smbfs 

Parti ties en apparaatnamen vindeo: 
fdi&k -I 

Om bij mount alles niet nog eens 
opnieuw in te hoeven typcn, voer je 
in /eic/fstab het volgende in: 

/dev/hdbl /ntfsOl nifs rw.user 0 0 
//win_jervefO 1 /isoHinages /Uo imoges 
smbh 

ip=l 92 J 68-1.5,usefname=gebruiker,pas- 
swofd=wacblwoord,noouto 0 0 

DaarliH; bchoren de opdrachten: 

mMif /ntf$01 
mount /ntfsOI 
mkdir /iso-imoges 
mount /iso-imoges 

Ben eenvQLidtge, minimale Samba- 
configuratie in /etc/samh£t/smh.conf: 

Igtobol] 

workgroup “ tux 
netbios nome = vmtuxOl 
[vmachineOl] 
path “ /vmochineOl 
public = yei 
wrlieoble » yes 

Daarbij de commando's: 

odduser gebrulkerOI 
smbposswd o gebruikerOI 

In tegeiistelling lot bij de Windows- 
host [I] hcb je in de VMC geen 
menuoptie 'Most > Virtual Network 
Settings**/. Daarom wordt de netwerk- 
configuratic onder Linux uitgevocrd 
door het al bekende script vmware- 
amfig.pL Het instellen van de interne 
DHCP-servcr of de NAT-service 
geschiedt via de bestanden in /etc/ 
vmware/vmnetX/nat en /etc/vmware/ 
vmnerX/dhcfHl. 

Verder zal de Windows-beheerder 
in hel menu 'VM > Settings > Options 
> Startup/Shutdown' de optic vm^r dc 
'Virtual machine account' missen* 
VM's draaien op de Linux-host als 
root* 

Met de programma's putty en 
win.scp kan de beheerder van de client 
makkelijk toegang krijgcn tot de con¬ 
sole van de server en tot het bestands- 
systeem. Waniieerde aanmelding daar¬ 
bij erg lang duurl, kan dat aan de 


naammsolutie liggen* Dil kun je ver- 
helpen met een ingang van de clienl-lP 
in het bestand /etc/hosts van de server* 

Om VM's comfortabel naar een 
Windows-laptop te kopieren of bestan¬ 
den te bewerketi, kan de beheerder 
voor de gebniikers met apt-get install 
samba ook dc Samba-scrvcr installeren 
(zie 'Bestandssystemen')* Op die 
manier merkl de gebruiker voortaan 
alleen nog aan dc padaanduidingen op 
de remote console dat hij op een 
Linux-host werkt* 

Bestandssystemen uit 
den vreemde 

Met nog een paar klcine dingen kan 
de instnllatie dan afgerond worden: als 
de verzameling ISO-images zich op 
een Windows-scrvcr in het LAN 
bevindL kun je deze via SMB-mount 
bcschikbaar itiaken. Ook van NTFS- 
partities kun je via mount gcbruikma- 
ken. Dat maakt zelfs een parallelle 
Linux-lestinstallatie in ecu partilie op 
de Windows-host mogclijk. Virtuele 
disks op de gegevensdrager van Win¬ 
dows kunncn mclecn in nieuwe VM's 
onder Linux worden gebruikt. Omdat 
op NTFS-partities vanuit Linux geen 
schrijlloegang mogclijk is, werki dai 
echter alleen met een snapshot, waar- 
van de 'redo'-logs zich op een l.inux- 
partitie bevinden. 

Ook bij dc installatie van de VM wa¬ 
re-tools in de Linux-guests mcict je op 
wal mecr dingen letten dan bij Win- 
do ws-gas tsyste men. De nielhode die in 


Suse als basis 

Hel pakkel installeren met behiilp 
van Vast, vcrvolgens nog: 

cd /usr/^rc/linux 
moke clon&config 
moke prepore 

de VMware-handlciding is beschreven 
werkt bij veel distributics alleen als 
deze expliciet ondersteund worden of 
wanneer de kemcllieader en de compi¬ 
ler zijn gemstalleerd. Bo vend ten is het 
raadzaam via /etc/initdi/giim stop (of: 
kdtn stop) bij Debian of Ubuntu, dan 
wel met init bij de meeste anderc dts- 
iributies, de GUI voor de installatie af 
te sluiten* 

Al met al knjg jc met l.inux ab host 
een stabiele en eenvoudig te onderhou- 
den basis voor de VMware Server, die 
naadloos in een aanwezige hclerogenc 
omgeving te integreren is. 

SVEN AHNERT 

begeleidi als medewerker von een 
sysleemproducer!I middensionders op 
hel gebied van nelwerken en serversys- 
temen. 

literatuur 

fH Sven Ahnert: Virtuele piloten; VM¬ 
ware Server in de praktijk; iX 
3/2006, p. 137 



Als nief de hele distributie beschikbaor is, hocilt 'configure apt' extra bronnen 
op {afbeetding 2], 
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PAAKTIIK 


Voice over IP 


Asterisk-tutorial 
deel 2; 

dialplan, voice- 
mail, ISDN 

Altijd 

dichtbij 

Thilo RoBIer 

Het is redelijk eenvoudig om Asterisk als interne telefooncentrale te configureren. Het is 
iets lastiger om de voicemail in te richten en een koppeling te maken met het externe 
telefoonnet via ISDN. 



M iidiit we in deel 1 van deze tuia- 
rial (1] de telefooncentrale-soft- 
ware Asterisk hebben voorge- 
steld, gaan we door met het maken van 
inslellingen voor ons telefoonnetwerk. 
Het idee is dal tele Poongesprekken via 
kanalen binnenkomen en worden afge- 
handeld in een dialplan, dat zich 
bevindt in het connguratiebestand 
extensions.amf. Het dial pi an bepaalt 
hoe bitinenkomende en uitgaande 
gesprekken warden behandeld en 
geroulcerd. Kanalen roepen hcl aan 
met een ^contexl^ en her gebelde num- 
men Her dialplan ziet er op dit 
moment nit /.oats in listing I, met de 
zogenaamde 'contexts' global en local. 
Het valt daarbij rneteen op dat de 
manier waarop loeslcllcn zijn opgcge- 
ven geen schoonheidsprijs verdient, 
want je moci voor ieder aangesloten 
toe.stel een aparte entry aanmaken. Het 
is slimmer om gebruik te maken van 
pattern matching. Dat kan er dan zo 
uit/ien: 

1 ,Diol[5IP/$ (EXTEN ),1 [ RtNGTIME ] ] 
exten => _XXX,2,Busy 

Regnliere expresstes—moeten—in 
Asterisk altijd beginnen met een L'- 
Hen X .staal V(H>reen willckenrig eijPer, 
een N voor elk cijfer behalve 0 of 1, 
een Z voor de cijfers I tot en met 9 en 
de punt staal voor een willekeurigc 
tekenreeks. Met vierkante haken kun je 


groepen aangeven, bijvoorbeeld [1-3] 
voor de cijfers 1,2 en 3, De systeem- 
variabele $fEXTEN} bestaat automa- 
tiseh (/xmder declaratie als bij RING- 
TIME) en be vat het telefoonnummcr 
dal wordt geevalueerd. Wanneer toe- 
slel 102 nu wordt gcbeld, wordt het 
pattern _XXX toegepast. Asterisk zcl 
de waarde van ${EXTEN} vervolgens 
om in 102 en voert hel commando 
Dial uiL 

Het spreekt voor zich dat er bij het 
gebaiik van patterns een logische 
overeenkomst dient te zijn lussen 
het doorkiesnuminer en de naam 
van hcl opgeroepen toesteL Het is het 
makkelijkst om voor l^eide dezelPde 
tekenreeks te gebruiken. Hiervoor zijn 
aan pass ingen in het bestand sip.conf 
nood/iikelijk: 

[ 100 ] 

lype=friend 
usernanie= 100 
s@crel=123456 

ho 5 l=dynamic 

disollow=g|l 

allow=gsTn 

ollow'olciw 

De namen van de toestellen moeten 
overeenkomstfg worden aangepast. Er 
bestaat ook een mogelijkhcid om dc 
samenhang tussen oproepmimmers en 
lelefoon in een ander bestand op te 
nemen en bijvoorbeeld door te geven 


via een AGI-seript (Asterisk Gateway 
Inlcilace), zie pagina 109. 

Voicemail 

Omdat je niet altijd in de buuri bent 
wanneer jc lelel(M>n overgaat, beschikt 
Asterisk over cen leleftKmbcantwm^r- 
der (Voicemair). Om deze te configu¬ 
re ren is er hcl bestand vok enuiiLconf: 

Igenerall 

fciftnal=wav49 

[defoi/!l] 

100 => 1 11 1,Peter 

Mulder,peler. my IdiftinlroJocal 

101 =>111 fHuub 
Smil,huub,smil@ititroJocal 

De getallen i(X) en 101 staan voor 
de mailboxnumniers. Het ligt voor de 
hand om hiervfK>r dezelfde nummering 
te hanteren als voor het doorkiezen. Op 
dil moment hebben beide mailboxen 
het wachtwoord Ml 11' en staan in hcl 
bestand tevens de namen en e-mail- 
adressen van dc eigenaars. Wanneer 
SMTP op de server is gcYnslalleerd, 
kan Asterisk het ingesproken bericht 
daannee direct per e-mail naar de 
geadresscerden sturen. Zij hoe ven dan 
niets te missen, wanneer ze buiten de 
deur zijn. Achter format in het ged^lte 
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Inhoud 

van de tutorial 

Deel 1: IniroducUeJnstallatie, aan- 
sluiting van softphones 

Deel 2: Coinplcxe dialpJans, 

ISDN-aansJiuling, voice¬ 
mail en rechlenbeheer 

Dccl 3: AsteriKk in het netwerk, het 
aansluiten van de beschik- 
barc telccotn-installatics, 
tips en trues 

[ general 1 staat het tormaat waarin het 
bericlit dient te worden opgeslagen. 

Om te voorkomen dal ecn bcller 
nadat dc tclefoon een aatital keren is 
overgegaan een ingesprektoon krijgt of 
dal de verbiiidiiig zondcr nadcrc mel¬ 
ding wordt verbroken* bestaat de 
mogelijkheid een voicemail-functie te 
configureren in extensionsxonf. 

exlen->_ZXXJ,DioMSEP/$(EXTENk$\ 

(RiNGTIME}) 

exten _ZXX;2,Voicemalt|ut {EXTEN}) 
exien “> _ZXX,3,Ploybctck(vm goodbye) 
exten => _ZXX,4,Hangupf) 

Als de teleltxm Iwintig seconden 
tevergeefs is overgegaan* activeert 
Asterisk de voiceinailbox met het aan- 
gegeven nurnmer (dat hier overeen- 
komt met het doorkiesnummer), waar- 
na de beller een bericht kan inspreken, 
De Idler m Cunavailable') zorgt ervoor 
dal de beller met een meldtekst op de 
hoogte wordt gebracht van de afwezig- 
heid van degerie die hij wil bcllcn, Ook 
kan met h ('busy') een melding worden 
geiictiveerd* wanneer de gebelde in 
gesprek is, Daarnaasl krijgt de beller 
inslructies hoe om te gaan met bet 
voicemailsysteem, Deze functie kan 
met A’ worden onderdrukt ((K)k in com- 
binatic met u en h). 


LUfing It 

wltnsioM.cflaf 

[difault] 

nun i(M)|}riiii(S[P/tiitti,uninijiEn 
CKtei) => 

li)1,1,liaUUP/ilitc2,S(l1lCnNm 
(itfn -> 101,Z,Susy 

nUn IOZ,14i3hStP/j!Utd,ntlie!lll!)} 

aneii -> 10Z,Z,0uJy 

iimil 

ircitldt => defiutt 


In eerste instemtie bevot 
exfensio/tf^conf dezelfde regels voor 
elk telefoontoesteL 


Nadat de beller een bericht heeft 
ingesproken, kan hij dc verbinding 
verbreken door de hiKim op de haak te 
leggen. Hij kan er ook voor kiezen om 
M (hekje) in Ic lucLscn* waama Asterisk 
cen 'g(K)dbye'-melding geeft en de ver¬ 
binding zelf verbreekt. Deze melding 
is een geluidsbcsland* dat door de 
P/£^yft^/c^-toepassing kan worden afge- 
speeld. Deze geluidsbestanden staan in 
/var/Iih/asterisk/sot4mL\\ Dc bestanden 
kunnen /onder verdere omhaal aan 
Playback worden opgegeven. 

Ingesproken bcrichtcn staan in 
var/xpool/asferisk/voicemail en zijn te 
herkennen aan <contej[i>/<boxnum- 
mer>/INBOX. De context van dc tot 
nu toe ingcrichte voicemailboxes is 
altijd 'default'. Met formaat waarin het 
bericht wordt opgeslagen staat in 
[general} van /voicemail.conf tn is in 
dit geval een wav-variaiiL 

Nederlandse teksten 

In /var/lib/a.mnsk/sotmds zitten stan- 
daard alleen meldteksten ('prompts') in 
het Engels, Op inteniet is er echlcr cen 
ver/.amcling Nederlands-talige meld- 
teksten als beta-versie te vinden [2]. Je 
kunt ervoor kiezen oni deze bcslandcn 
in /var/lih/asieriskJ-sounds te zetten en 
de originele Engelsc bestanden te over- 
schrijven. Wellicht is hcl handiger om 
de bestanden in var/lih/asterisk/sounds 
/nl te zetten, Hierdoor kan het systeeni 
altijd op de Engelse teksten Icrugval- 
Icn als er voor dc handling geen ove- 
reenkomstig Nederlandstalig bestand 
is. Oni Asterisk ook daadwerkelijk dc 
Nederlandse meldteksten te laten 
gebruiken, moet je dat in de [general]- 
sectie van Mpx'onf vennelden: 

[generol] 

language=nl 

Om berichlcn nicl alleen via e-mail 
bij de geadresseerde te krijgen, maar 
om hem ook in de gelegenheid te stel- 
len zijn bcrichtcn direct af te luisieren, 
moet er nog een entry gezel worden in 
extensions.conf. 

exien => 

_4ZXX, 1 ,VokeMailMain| $ {EXTEN: 1) 1 

ledere deelneiner kan zijn mailbox 
bereiken dcK)r eerst een 4 te kiezen 
gevolgd door zijn eigen doorkiesnum- 
mer. Mel bet programma VaiceMail- 
Main kun je de voicemail verder 
instellen, Als je het zonder verdere 
parameters start* vraagt het programma 
om hcl rummer en wachtwoord van de 


JT-tract 

• Mocro's maken de configu- 
rotie von toestellen voor een 
Asterisk VolP-installotie mak- 
kelijker. Met het goto-com- 
mondo is complexe foutof- 
handeling mogelijk. 

• Voicemail kan in Asterisk 
atgeschermd worden met 
een wachtwoord en a I naar 
gelang de behoefte bena* 
derd worden vanaf een 
centrafe of de betreffende 
aansluittng. 

• Voor gebruik binnen een 
bedrijf kun je verschillende 
ISON-kaorten gebruiken, 

Als deze over meerdere 
poorten beschikken, kun je 
ze samenvoegen in een 
groep en aan Asterisk over- 
laten welke kieslijn gebruikt 
wordt. 


mailbox. Als parameter kan her 
doorkiesnummer ingevoerd worden 
zoals in hovenstaand voorbeeld, 
${EXTEN:i} zorgt ervoor dal het eer¬ 
ste cijfer (de 4) van hcl doorkiesnum¬ 
mer wordt afgehaald. Door de letter s 
van 'skip' voor het mailboxnummer te 
zetten, wordt er ook niet om cen 
wachlwoord gevraagd, 

Het kan zijn dat er niets gebeurt 
wanneer je het wachlwoord inloetsi. 
Dit ligt dan aan dc (on)mogelijkheid 
om tijdens een gesprek toetsen in te 
drukken. Dit wordt geregeld door de 
optic dtmfmode in sipx:on}\ Deze kan 
de waarde mband, rfc2833 en info 
bevatten, De enige juistc waarde is 
echler rfc2H33, 

Het is ook mogelijk om voicemail- 
berichten via een algemeen nurnmer af 
te luisieren, Dc systeemvariabele 
$(€ALLER!DNUM} bevat het numnier 
waarvandaan wordt gebeld. Wanneer 
dit nurnmer nu als argument wordt 
doorgegeven aan VoiceMaiiMain, kan 
vanaf iedere iocatie de voicemail box 
worden afgcluislcrd: 

exlen => 999J,VolceMallMoin($\ 

(CALLERlDNUM)l 

Dc meeste IP-ielcfoons kunnen dtwr 
middel van een MWl (Message Wai¬ 
ting Indicator) aangeven dal ercen be¬ 
nch l is binncngckomen. Vaak is dit 
een knipperend rood lampje. Om te 
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ISDN-kaarten voor VoIP 


Het hangl sicrk af van de gebruikte 
ISDN-kaart op welko wijze Asterisk 
met ISDN verbonden kan worden, 
Als je vcel tc bcsiedcn hcbi, krijg je 
narnelijk ook veel. Met de dure 4BRI 
van Eicon kan je bijvoorbeeld elk van 
de vicr potirtcn apart configureren 
voor gebruik in NT- of TE-mode. 
Bovendien heb Je de keuze mssen 
FTP (p{)int-Ui“poim) of PTMP (point- 
to-niullipf>int), 

Dc passieve Frilz-kaarlen van AVM 
komcn met bun eigen drivers, die 
echter alleen PTMP ondersteunen. 
Wil je gebmik maken van FTP kun je 
chan_api gebruikeii met ml SDN als 
driverlaag. Volgens een discussie op 
WWW .voiprin ro.org/tiki-index.php? 
page=AKteiisk+CAPI-K:hanncls wcrki 
dit echter nog niet stabiel 

Er is een groot aantal ISDN-kaarten 
Op de markt dat gebruik maakt van de 
HFC-chipscuvarierend van goedkope 

zorgen dat de telefoon ook daadwerke- 
lijk wachtende berichten doorgeefl, is 
de volgende aanvulling in sip^conf^CT- 
eist: 

[103] 

mQilbox= 103 

Als de mailbox niet in de seette (c.q. 
context) defaiiit van voicemailx'cmf is 
gedefinieerd, moet aan mailbox de 
waarde < Mailboxnr> @ <cotnexi> 
worden toegekend. 

Dialplan-macro's 

In plants van telkens de/clfde entry¬ 
’s in exierhsiatuxonf le plaatsen (en 
dicntengevolgc telkens aan te passen), 
kun je het jezelT makkelijk maken met 
macro's: 

[defaulll 

ejtten _ZXX, kMocro(inlerneoproepj 

[macrointerneoproepl 

exfen 

s, 1 ,Dfal(SlP/HMACRO JXIEN} AJ 

{RINGTIME 11 

exten v2Aoiccmoil(ut{MACROJXTEN}) 
exten -> s,3^Floybocklvm-goodbye) 
exten => i^i^HongupO 

In dif voorbeeld is interneoproep 
cen macro, Deze vat de instellingen 
sarnen die we Lot nu toe gemaakt heb- 
ben voor oproepen van en naar interne 
aanskutingen. Zometeen laten we een 
verge! ijkbare macro zien voor oproe- 
pen van buitenaf. 


inerkloze kaaiten tot dure merkkaar- 
ten, Deze kaarlcn hebben met elkaar 
gem een dat ze alien gebruik maken 
van de zn^A/c-driver die zowel de 
NT- als TE-modc ondersteunt. 

Als je een kaart gebruikt in de 
NT-modc en jc wilt daarop toestellen 
zonder eigen strtKmivwr/iening aan- 
sluiten, zul je zelf moeten zorgen 
voor nctspanning. Voorbeelden hier- 
voor vind je terug op hUp://- 
home.foni.net/-jolly I /download/PBX 
4Linux-2.5.htmL 

De duurdere HFC-kaarten voorzien 
vrijwel allcmaal in net spanning, zodat 
er geen aanpassingen nodig zijn. 
Daarnaast zijn er kaarten beschikbaar 
met cen groter aantal poorten, die ook 
nog gesynchroniseerd zijn. Deze 
kaarten vallen uiteraard niet in het 
goedkope segment. Dit voorkomt 
synchronisatieproblemen wanneer je 
gebruik maakt van eenpoortskaarten. 

BiJ dc aann.>cp krijgt imerneoproep 
geen parameters mee. In de macro is 
automalisch de variabele ${MACRO_- 
EXTEN} bcschtkbaar, waarvun dc 
inhoud overeenstemt met de waarde 
van ${EXTENE Als placeholder voor 
het extensiongedeclte wordl hicr voor- 
alsnog een 's' (als in ‘start’) gebruikt. 

Aan rnaenVs kunnen overigens wel 
degel ijk argumenten worden toegc- 
voegd, na de macronaam en geschei- 
den dcKir kornma’s . Deze rnoeten in 
volgorde van dc rij ${ARGiE 
$fARG2} etc. worden genoemd: 

[default] 

exlen => 

^ZXX, 1 ,Macro(interneoproep,S [ EXTEN)) 

[macrointerneopfoep] 

exlen => s, LDiol(SIP/$(ARG1 }A[RINGTIME)1 
exlen => s,2Aoicematl(u${ ARGl}] 
exlen => 4H3,Plgyback|vm goodbye) 
exlen => s,4,Hangup)) 

Troubleshooting; 

Zells bij een voor/Jchlige con fig u- 
ratie kunnen er fouten ontstaan. Het 
sinipciste geval is wel een defecte 
kabel naar cic IP-tclcfcKin, die daardoor 
niet meer le bereiken is. Wanneer bij 
de verwerking van een entry in exien^ 
xiom,conf een foul opt reed 1 kun je 
deze afhanclelen door een foutroutine 
op te geven bij een entry die zich 101 
priorite*ten lager bevindt. Mocht er in 
de macro interneoproep bijvoorbeeld 
lets fout gaan bij het aanroepen van de 
voice mail box (omdai er bij voorbeeld 


geen mailbox bcslaai die bij bet desbe- 
treffende nummer h(H>rt), dan tel je 
101 op bij de huidige prioriteit 2 waar- 
d(K)r dc kmi dt>or 103 word! afgehan- 
deld. Deze gee ft bijv(H)rbccld cen 
bijbehorende melding: 

[m a c Fo-m f ern eo p roap J 

exfen => iJ,D}o!(SlP/$(ARGI ]A(R1NGTIME}] 

exlen => s,2,Vo3cemoiliu$(ARGl)) 

extern => 5 , 3 ,Playback(vm-goodbye) 

exlen => s,4fHongup() 

exten => l02(Playbock|vm-nobt)dyavaill 

exlen => $J03.Ploybock(vm-lncorrect'mailbox] 

Dit is echter alleen handig bij eenre- 
gclige fouten. Als je na afloop van de 
Ibuimelding dc lijn weer will vrijgeven 
door Asterisk het gesprek te laten 
bee indigen, loop je bij deze werk wijze 
vast. 

Hiervoor biedt het klassieke Goto- 
commando uitkonist. Dit laat de macro 
springen naar cen willekcurige combi- 
natie van doorkiesnummer en priori- 
ici t. V(K)r dit docl kun je aansluitingen 
detmieren met benamingen die jc zcIf 
kum kiezen. In het volgende voorbeeld 
zijn dal s DIALERROR en s-VOICE- 
mfLERROR: 

ImocfO'inlerneaproep] 

axtert => sJ.Dial(SlP/$(ARGllA$\ 

(RINGTIMEj) 

exlen => s,2,Vokemail|ut{ARGI )[ 
exfen => s,3,Ployback(yiTi gaodbyel 
exlen -> s,4,Hangup)] 
exten => s, 102,Golo(s-DlALERROR, 1) 
exten => 03.Golo(s-VOICEMAlLERRORJ) 
exlen => s-DIALERRORJ .PIoyback\ 

(vm-nobodyavail) 

exlen => s-DIALERR0R,2,Hangup|l 
exten => i-VOICEMAIlERRORJ .Playback \ 

(vmincorrecimoilbox] 
exlen => s V0ICEMAILERR0R,2.Hangijp(| 

De ene font is echter de andere niet 
en het kan voorkomen dat je ze dan 
ook vcrschillcnd moct afhandelen. 
Hierbij komen variabelen als ${DIAL- 
STATUS} van pas, Deze kunnen 
alliankclijk van de uitkomst van een 
dial-commando verschillende waarden 
aannemen. Op basis hiervan vindt de 
vcrdcrc aOiandcling plaais. In het vol¬ 
gende voorbeeld springt Asterisk 
alliankelijk van de waarde van de vari¬ 
abele naar s-NOANSWER of s-BUSY 
en verbindt de beller d(X)r naar de voi¬ 
cemail na eersi een mededeling teFeh- 
ben gedaan. In alle andere gevallen 
(met een pattern match opgeschreven 
als waarbij de punt staat voor een 
w i I Ic kc u ri gc htx: vcc 1 h e id tekens) 
worcit ermee omgegaan zoals met s- 
NOANSWER. 
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ISDN-woordenlijst 


[mqcfo-inferneopfoep] 

exien => sj,Diqf|SiP/${ARC \]M RINGTIME 1) 
exJen => s,2,GQto|s'$(DlALSTATUSl J) 
exien => s- 

NOANSWER. 1 .VoicetnoilluJ (ARG1)) 
exten => $ BUSYJ,Vo3cernaiE(b${ARG1 }| 
exten => _s-, J ,Goto|s'NOANSWEftJ [ 

inclien je tijdens de iiistallatie van 
Asterisk ook de voorbeeldconrigyralics 
liebl aangeniaakl, vind je in exten- 
sionx^conf de vergelijkbare macro 
stdexiefh 

Naor buiten 

Uitsluitend interne gesprekken voe- 
ren is leuk voor testdoeleinden, maar 
niet voldocnde viMir dagelijkse 
gc-bruik, Daarvoor is koppeling aan 
hct klassieke lelefoonnet gewenst, bij 
voorkeur via ISDN. Dc schakel tussen 
Asterisk en het ISDN-subsysteem van 
Linux (of de ISDN-driver) wordt 
gcvormd door een van de drie channel- 
drivers chan^miSDN, ch(m_capi en 
chan_zap (zte tabel 1SDN-kaarten en - 
drivers'). Dit zijn gcen drivers in de 
traditionele hardware-'Zin van het 
wmird, maar zc sprcken een lager lig- 
gend systeein aan om biJ dc ISDN- 
hard ware Ic kunncn . 

Dc channel drivers chan_zap en 
chan_mISDN sprckcn dimel met 
cen d river! aag. LaaLstgenoemde is 
gcbt>uwd bovenop de Ilisax-opvolger 
mlSDN (wat staat voor mtxinlair 
ISDN), die dc driver is voor een grote 
hoevcclhcid ISDN-kaarten. ISDN-kaar- 
ten van de hoofdsponsor van 
Asterisk, Digiuni, worden via chm_zap 
aangcsiuurd met dc Ziiptel-driver. Dank- 
/ij de hristnff-patches van Klaus-Petcr 
Juiigmaiijis |3l kan chatj_zop txjk over- 
weg met dc vcclgcbmikte HFC-chipset. 

Ook oorspronkelijk geschreven dtxtr 
Jung man ns is chan_capi, die tmdanks 
wat diens homepage vermeldt tegen- 
w(X)rtlig zijn thuisplek heeft op chan- 
capi.org. Deze Asterisk-mcxlulc werkt 
bovenop de CAPI-implementatie van 
dc IJnuxkemel (zie woordenlijst). 
Deze kan zowe! door propriciairc card 
drivers als hcl mISDN-systeem worden 
gebruikt. 

In deze tutorial gebruiken wc cen 
Eicon V4-BR1 als ISDN^kaart. Docu- 
mcntaiic en software voor Linux zijn le 
vindeii op de website van de fabrikanL. 
Om de navolgcndc voorbeelden te voL 
gen mocten de poorten voor de 
TF-modus (Terminal Equipment) wor- 


B-kannal (van 'bearer’) diem vcw dc 
transmissie van een ISDN-gesprek met 
64 kbps. Een S(j-aansluiting beschikt 
over twee B-kanalen en een D-kanaal 
(zie onder) 

BRI (Basic Rate ISDN, ISDN-2, S^) 
staat voor twee B-kLinaien en 66n D- 
kanaaL Hiermee is het mogelijk om 
twee tclefoontjes tegelijk te plcgen. 
BRI komen we vecl Lcgen op kleine 
kantoren en in dc hiiiskamer. Kan ge¬ 
bruikt worden als aansluiting voor 
meerdere toestellen of als centralc. 

CAP! (Common ISDN API) Is een 
gestandaardiseerde API en is votledig 
onafhankelijk van het gebruikte bestu- 
ringssystcem en hardware, Zie 
capi.org. 

D-kanaal (van 'data') heeft een band- 
breedte van 16 kbps en is een stuurka- 
naal waarover de centralc met ISDN- 
apparatuur onderhandeit. 

ISDN (inlegralcd Services Digital 
Network) is hct digitale telefoonnet- 
werk dat in veel Europese landen zijn 
intrede heeft gedaan. Hcl bijbehorende 
pmtocol hcet RDSSI (ook wel 
EuroISDN geiioemd), 

MSN (Multiple Suh.scriber Number) 
Aan een ISDN-aansluiling kiuinen 
meerdem telefoonnummers of MSISTs 
worden tocgcwczcn, 

NTBA (Network Termi nation for 
ISDN Basic Rate Acccvss) is het eigen- 
lijke ISDN-kastje (in je meterkast) en 
zet de twee binnenkomende aders 


den geconfigureerd. De overige parame¬ 
ters blijvcn op de standaiirdinstelling 
,staan. 

ISDN-aansluiting 
compileren en inrichten 

Om Je ISDN-kaart enigszins bruik- 
baur te maken voor Asterisk heb je een 
recente vei'sic van chan_capi ntxlig. (De 
hiema opgesomde configuratieinstellin- 
gen werken niet met de 0.5-vei^ie.) In 
de meegelevcrdc Makefile wil je wel- 
licht de variabelen fNSTALL_rREFlX, 
ASTFRISf<_HEADER^DlR en MODU- 
LES^DIR aan je cigcii omstandigheden 
aanpassen. Als jc Asterisk hebt gefnstal- 
leerd zoals beschreveii in het eerste decl 
van deze tutorial, dan hoclT dat niet. De 
commando's make en make instalf (deze 
laatste als mot) compileren en installe- 


(U|^fl) om op de vieraderige aansluiting 
S(j. 

NT-modas (Network Termination) 
Het type appamten wattr je eindappara- 
ten als tocslelicn of I SDN-centrales op 
kunt aansluiten. 

Polnt-to-Mu]tipf»tnl houdt in dat Je 
meerdere apparaten direct op de Sg-bus 
kunt aansUiiten. Deze zijn vervolgens 
met eigen MSN's te hereiken. 

PcHnt-to-Point daarentegen rnaakl 
slechts aansluiting mogelijk van 
centralc en NTBA. Het doorzetten naar 
een specifiek ander toeslel neeml dc 
centrale vot^r zijn reken ing. 

PRI (Pnmary Rate ISDN, ISDN-3(I, 
ook wcl S2M) biedt dertig B-kanalen 
cn cen D-kanaaL Er zijn dus dertig 
gesprekken tegelijkertijd mogelijk. Een 
PRI is altijd een ccnlrale aansluiting. 
PRI wordt vecl gebruikt in bedrijven. 

Sirbus bestaat uil vicr aders met twee 
B-kanalcn en een D-kaniial. Deze dient 
onder nicer voor het koppelen van 
ISDN-toestellen op dc NTI3A, Dc bus 
moct aan bcidc kanten afgesloten wor¬ 
den dixireen IGO-ohm-terminator. 

TE-modus (Terminal Equipment) 
fSDN-cindapparaten in deze stand 
kuntien alleen communiceren met ap¬ 
paraten in de NT-modus zoals een 
NTBA. 

is een twec-adcrigc verhinding tus¬ 
sen wijkcentrale en netaansiuiting 
(NTBA) 


ren de driver. Met het oplitmcle make 
amfig kun je nog de voorbeeldconfigu- 
raties installercn. 

Vervolgens moet chati__capi worden 
toegevoegd turn moduiesx'onf in /etc/ 
asterisk. Dal bestand moet minimaal het 
volgende bevanen (en vergeet niet cen 
lege negel aan het cinde van het bestand 
te plaaLscn): 

I modules] 
autolood=yes 
[■■] 

loqd chon^eopi.io 

u 

[global] 

U1 

chan_copi.so=yes 

Om Asterisk vervolgens te stouten 
met ondersteuning voor ehan_capi., 
meet ook het bestand capijconf in 
/eic/asterisk vcx)rhanden zijn (zie listing 
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ISDN-KAARTEN EN DRIVERS 


Kxrt 

Eicon Diva Soivef 

Digiutn 

HEWhip 

m 

dhrofse ovorigan 


Gnnrwl dnwf 

dM]n_cijpi 

clwn^iap 

chon^zap 

chnn^ccpi 

chon_copi dl chon_cnlSON 


tSDNdiiver 

eige^ Eicon drim 

Zoprd 

brismff 

€jgen M driver 
rtdSDN 


2). De door make config gegenereerdc 
variant laal zicn dal na de general-sectie 
de definiiic van mccrdere controllers 
voIgt, De optie co/uroller idenlificeerl 
dc gebruikle hardware, llet Linux-com- 
mando capiinfo gccft informatie over 
alle beschikbiire capi-controllers cn 
nocmt ondcr andere de nummers die je 
bij de/c optie kunl opgeven. 

Aan de kaart die we in dc/e test 
gcbmiken worden vier controllers toege- 
wezen, eentje vtx>r iedere So-aansluiting. 
Aangezien het over bet algcmcen nicl 
gewenst is om bij inkomende en uit- 
gtiande oproepen vcrschil tc maken tiis- 
sen de afzonderlijke interfaces, kun je ze 
ondcrbiengen in een groep. Dit doe je 
met control(er= 1,2,3,4. De toewijzing 
van dezelfde waardes aan group Jevkes 
gccfl aan hoeveel verbindingen er tege- 
lijkertljd mt>gelijk zijn. In het geval van 
S(rpoort zijn dat er twee. 

Als je slechts bepaalde nurnmers van 
buitenaf wilt toelaten, dan kun je dat 
aangeven bij incontirtgrnsn. Dc op de 
kaari bcschikbare echo-onderdmkking 
siel je in werking met. echocancei—yes 
Alle inkomende opn>cpcn komcn in dc 
context bintien die je hebi gedefinieerd 
ondcr context. 

Wanneer Asterisk /ondcr pniblcmen 
Is opgcsUirt kun je beginnen met de 
exlcme verbinding van de server* Met 
behttip van capi info in dc Aslerisk-CLI 
kun je controleren of de ISDN-kanalen 
bcschikbaar zijn. 

Nul voor de buitenlijn 

Voor de volgende configuratiehan- 
dclingcn keren we terug iiaar exten- 

Llsfing 2 s 

[gcncDil 

iflterAitT0MOr«tu=Dfl 

r!i9iiit=0J 

[EiOi] 

isdfitodc'isr 

iitcoiin^Dn-OSIS 

stfftdtihon 

r&Lixiftif=o}i 

iEC<^unti;{)dc= 

Etiti t lintnbi^n die x t i ruedp rai|i 

iwm-l 

|roup»1 


xionx.conf. On^ naar buiten te kunnen 
bellen dien je de vedgende entry toe te 
voegen: 

[defaull] 
exltn => 

_ZXX, 1 ,Macfo(interneoproep,J [EXTEN }| 
exten => 

_0., 1, Dial IC25 API/g 1 / $ {EXTEN: 1 ] /b} 

Wanneer iemand een nummer kiesi 
dat met 0 begint, gcbruikl Asterisk nu 
controllergroep 1, De vtK)rkH)p-0 
wordt nil weer van bet nummer afgc- 
haald* Achler dc slash is ruimte voor 
optics, zoals hier /?, dal ’early B3 con¬ 
nect' betekent en inhoudt dat akoesti- 
sche signalen zoals kiestoon, beltoon 
of in-gesprek-toon aan het cindt(.>cstcl 
worden doorgegeven. 

Ook voor het bellen van een extern 
nummer kun je ook een macro aanma- 
ken: 

[defaull] 
exten => 

_ZXX, 1 ,Mocro(internfloproep,$ (EXTEN}] 
exien => 

_O.J,MocTo(externioproep,CAPlAll EXTEN; 1 

)i 

[m oc ro^externeoproap] 

exfen => sJ.DidlS(ARGI)/$(ARG2)/b| 

Binnenkomende oproepen moeten 
met zorg worden hchandeld. Vandaar 
dat er in capix'onf een context moet 
staan die hierop toeziet. 

IbmnenkcmendoexternGOpfoep] 
exten => 

1 ,Mocfo(inlemeop roep, $ [ EXTEN: 10} | 

Oproepen van buitenaf dicnen op 
dezelfde manier te worden behandeld 
als interne opniepcn en daarom kunnen 
deze net zo goed door de macro inter- 
neoproep worden afgehandeld, Hei 
gekozen dtM>rkicsnymmcr moet wel 
omgezet worden naar het volledige te- 
Icfoonnummer* In dit voorbeeld is dit 
tien cijfers lang, Ab jc binnenkomende 
oproepen in een eigen context ver- 
werkt, kim je datzelfde ook doen voor 
interne oproepen. Dit maaki het mak- 
kelijker om later rechten toe te wijzcn. 

[default] 

irtdude => binnenkomendeinlernGOproep 


include => uitgaandeexlerneoproep 

[binnenkomendeinferneoproep] 

exien => _ZXXJ,Mocro(ir»tefneoproepl 

[uilgaandeexlemeopraep] 

exien => _0.,l,Macro|exfefneoproep,CAPI|\ 

$(EXTEN:!]] 

[binnenkomendeexterneoproep] 
exten ”> 

1 ,Mocfo|inlerneopfoep,$ [ EXTEN: 10] ] 

Deze opdeling maaki het mogelijk 
om voor sommige toestellcn alleen 
interne oproepen toe te staan, door ze 
in een spcciaal daarvoor gemaakte 
context te plaatsen: 

lalleenintem] 

include => btnnenkomendeinlerneoproep 

Voor locstelnu miner 123 zou je nu 
het volgende in kunnen zetten: 

[123] 

lype=friend 
uiernome=l 23 
eontexi-alleeniniern 

Als jc het bellen van exteme lijnen 
slechts tijdcns kanlooruren wilt toe- 
staan, om misbruik te voorkomcn, kan 
dal ook. Dit doe je door een context 
slechts voor een specifieke periode ac- 
tief te laten zijn, middels een include: 


[bepurklexlernl 

include => binnenkomendeinterneoproep 
include => uilgaondeexierneaproep | Mon - 
Fri 1 7urn 1 8 pm | * | * 

In dit voorbeeld kun Je met een 
tocstel in dc context beperktextern 
alleen op werkdagen tussen 07:00 en 
18:00 Liur naar buiten bellen. Ken 
nadcre aanduiding van een specifieke 
dag in de maand alsmcdc de niaand 
zclf zijn niet relevant voor dit doeb 
vandaar dc twee steneljes (wildcards)* 

THILO ROlilER 

werki als VolP<Ofisuliani voof ArcbT 
lects of VoIP GmbH. 
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Asterisk-tutorial deel 3: 
Koppeling met LDAP, Asterisk 
in het netwerk, scripting 

De grote 
oversteek 

Thilo RoBier ^ 

Een handvol telefoonnummers voer 
in no time in het configuratiebestand 
van Asterisk in. Voor een poor 
honderd toestellen wordt dot 
vervelender, vooral als daarvoor 
intormatie nodig is vooral als 
daarvoo/externe rnformatje nodig is. 

In het afsluitende derde deel von deze 
tutorial behandelen vre LDAP, het 
gebruik van Asterisk als VoIP-gateway 
en de toepassing von AGI-scripts. 




E sscnticeJ vcior onze VoIP-tele- 
focincentnle zijn clc SIP-accounts 
van de gebmikers. Je kunt die vrij 
eenvouclig bijhouden tn een tekstbe- 
stand als sip.conf. In grole lelefoonnet* 
werken kan zo’n bestand echter gauw 
heel grcH)l worden, en extra vervelend 
wordt het behecr crvan als aanverwan- 
le informatie ermee moet wordcn 
gckoppeld. Zt> lioorl een telefoontoe- 
stel altijd bij ecu bcpaald persoon in 
het bedrijf, De gegevens over deze per- 
scK)n staan in een database of in een 
directory service. Hcl is veel werk en 
foutgevoelig om al die gegevens 
Dpnieuw op tc nemen in de Asterisk- 
configiiratie. 

Met dit in het achterhoofd is het dns 
slim om de gegevens van sip.cofif op 
te si aim in een directory service als 
OpenLDAP of Active Directory. De 
standaardversie van Asterisk bevat 
geen koppeling met LDAP-directories* 
maar die kun je wel achteraf toevoe- 
gen. Daarvoor moet je even door de 


zure appel bij ten en de Asterisk-server 
met een patch opnieuw compileren. 
'I'wce Duitse open-source ontwikke- 
laars zijn namelijk zo vrieiidelijk 
geweest om een patch tc schrijven die 
Asterisk laat werken met LDAP, Deze 
patch is ic vinden op www.asterisk- 
ev .org/astirectory ,php, voor zowel ver- 
sie L0,9 als L2.x, 

Vtxir dc compitatie en het gebruik 
van de patch heb jc uilcraaid een bijpas- 
sende versie van de Asterisk-bronccxlc 
ntxlig, maar mik de (headers van) de 
LDAP-libraries. Op Suse Linux volstaat 
het insialleren van het pakket openl- 
dap2-devel^ andcre distributies hebben 
vergelijkbane packages. Na het down- 
loaden gaat bet ongeveer als volgt: 

tQDSivf osterisk 1.0.9.tar.gz 

cd osterisk'l .0.9 

tor xivf ../Qsfifectory-L0,9-1 Aqz 

patch pi < astirectory-L0.9-1/sip_ 

iox2'po1ch2.dilf 

moke 

5udo moke instoll 


Voor dil artikel gebruiken we 
OpenLDAP als directory service. 
Hel benodigde schema-besland 
asteriskM'hemu kun je vinden in de 
nieuwe astirectory-directory. I Her vind 
je tevens een voorbceldbcstand in 
I.DIF (hcl LDAP Data Interchange 
Format) dat als basts voor Je eigen 
gegevens kan dienen. 

Om van LDAP gebruik te kunnen 
maken mtxdcn in sip.conf de relevante 
verbindingsgegevens siaan: 

[generol] 
conleKt^defoult 
port=5060 
bSndoddr^O.0.0,0 
srvlookup=yes 

ldophost-10.1. i .2 ~ 

ldopu5er=^cn«Manager,dc’exomple,clc=coin 

ldopposs=secfet 

ldapbasedn=dc=exQmple,dc = com 

In de Idaphost^rtgc] zel Je het 
iP-adres of de naam van de LDAP- 
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.server, Als deze niet op de standaard- 
poort luistert, moet je achLcr dc naam 
of hel adres nog een dubbele punt 
zetten gevolgd door het juiste poori- 
nummer, De als idapuner aangegeven 
'Distin-guished Name* (DK) dient of 
in LDAP te bestaan of als rootdn in 
het Open-LDAP-configuraliebcstand 
slapdxonf te zijn gedeftnieerd, Ana- 
loog daaraan moel ook het bijbeho- 
rende wachtwoord in LDAP of in het 
configuratiebestand /Jjn opgenomen. 
Tens lot te staat Ukipbasedn voor de 
node in de LDAP-di rectorybotnn van 
waaruit je naar gegevens kunt gaan 
zoeken, 

Omdat het noodzakelijk is om bij 
het aanmelden van cen SlP-toestel de 
attributen te wi jzigen, moet Je gebru- 
ik maken van de rootdn die over a I 
schrijfrechten heefL In cen productie- 
omgeving zou je dii overigens uit 
be vciMgingsoverwcg ingen niet op 
deze wijze doen, maar voor testdoe- 
leinden bespaarl je dit het werk van 
het aan maken van een gebruiker met 
geschikte rechteiL 

LDAP-schema voor 
Asteriskgegevens 

De namen van de object classes en 
attribuuttypen komcn zoveel mogC” 
lijk overcen met de gegevens nil dc 
configuratiebestanden van Asterisk. 
Kcnmerkend is dc icrugkerende pre¬ 
fix ast. Hoewel alle gegevens via de 
Asterisk-commandline (CLl) inge- 
voerd en bijgchouden kunnen wor- 
den, kun jc ook de prettig werkende 
grad sc he interface Luma gebruiken 
(luma.sourceforgc. 
net). 

Een voorbeeld van een LDAP- 
entry zie je in listing 1. Het object is 
een instance van dc class inetOrg 
Person {organiz^ttionalPerson en person 

Inhoud van 
de tutorial 

Deel 1: Iniroduciie, installade, 
aansluiting van soft- 
phones 

Deel 11: Complexe dialplans, 

ISDN-aansluiting, voice- 
mail en rechtenbeheer: 

Deel [II; Asterisk tn hel net- 

werk^ LDAP-koppeling, 
tips en trues 


Listing 1: 

{Id: en^lit^o 

Der&Qn 

Dbjec tClisi: nriini 
QlijectCtj&i: ine torn Pei'S H 
{^b|eEtCn»; istnpienern 
istSipPeef 

ebjeUCUss; isUipFrieN 
m lEhiltM 
civ; )lif 90 khettiJi 
{jispLifliie; It, Schelten 
istliae: 1DD 
astUsemae: 1Q0 
istSecrett 
astHast: {ffiaaiu 
aitCdfiteu: default 


In plants van in srjp.conf kun \e 
telefoongegevens samen met de 
overige informatie over een 
gebruiker in LDAP-mappen bewaren. 

zijn diens voorgangers in de hierar¬ 
ch ie van overerving) en astSipFriend 
(ook hier inel dc voorgangers in de 
hierarchic), De gegevens over een 
persoon en het bijbehorendc lelclbon- 
nummer beheerl OpcnI.DAP derhaJve 
samen in een object. Het attribuuL 
displayName is niet sirikt not^dzakc- 
lijk» maar komt later nog van pas. 

Wanneer deze gegevens in LDAP 
staan, moet Asterisk een SlP-tocslcl 
kunnen verifiercn dat zich aanmeldt 
met de naam MOO' en het wacht¬ 
woord M23456*. Het CLl-conimando 
sip show peers laat het nietiw aange- 
maakte SIP-account echter niet zien, 
omdat dat zijn data haalt uit een lijsl 
die eenmalig bij hel starten van 
Asterisk of hij hel opnieuw laden van 
de configuratiebestanden is gegencr- 
eerd. Toch kun je hel toestcl vinden 
door hel gerichle commando sip show 
peer KX) te geven, Nu moet het toe¬ 
stcl eindelijk bereikbaar cn bruikbaar 
zijn. 

Met de additionele Asterisk-modu¬ 
le t.PAPget kun Je ervoor zorgen dat 
er bij degenc die geheld wordt de 
naam van de beller in het display ver- 
schijnt, die uit LDAP is gclezen* De 
bronbestanden hiervan zijn te vinden 
op WWW .mezzo.net/asterisk/app_ldap, 
htrnl. Nadat je het bestand hebt uit- 
gepakt vol staat cen make install dat 
je als root uitvoert. Wanneer Asterisk 
niet in de default directory staat, 
moet je hel juislc pad eerst in de 
makefile zetten. Na succesvolle 
installatie geeft het CLl-commando 
show application LDAPget informa- 
lie over LDAPget. 

Hoc LDAPget werkl hangl af van 
het bestand idap.conf in de directory 
met AsLcri sk-configu ratiebestanden. 
Het bestand zou er aid us uit kunnen 
zienr 


[gelCallerlDNome] 
ho$[ = lOM.l 2 

user = cj>=Manager,dc=excjnipleA 

dc=COm 
pos$ = sectel 

base = dc=example,dc=com 
filter =\ 

|&|QbjeclCla5s=inetOrg Person) (a UNome=%s)] 
□Uribute = disptoyName 

Dil zocklllter bepaalt dat LDAPget 
hij aanroep van de seclic geK^allerfD- 
Name op zoek gaat naar objecten van 
dc class inetOrgPerson^ waarvan het 
attribuut astName de waardc hceft die 
LDAPget bij zijn oproep volgens het 
dialplan heeft meegekregeii. Het diai- 
plan krijgt in dit geval hel LDAP-attri- 
buut displayName tcrug, omdat dat in 
ieder object slechts eenmaal mag voor- 
komen. In tegenstelling tot attributen 
als sn en cn .displayName mag deze 
een verkone naam of roepnaam van 
cen persoon bevatten. 

Namen in plaats van 
nummers tonen 

In tegenstelling tot modeme inslal- 
laiics van OpenLDAP gebruikt LDAP¬ 
get nog LDAP versie 2. Daarom rnoet 
je met dc entry allow biml_v2 in 
slapd.conf toestaan dat dit protocol 
gebruikt wordt. Vervolgens moel 
Open-LDAP opnieuw worden opgc- 
start. 

Een kleine k>evoeging aan in exten¬ 
sions.cemf zorgr er tiu voor dat dc 
opgezochte naam van dc beller tnik in 


Jl-TRACT 

• Met behulp van een patch 
kan Asterisk configuratiege- 
gevens voor individuele 
telefoons uit LDAP-directO’ 
ries halen, 

• Donkzrj twee Asterisk-APTs 
kun je scripts loepossen op 
binnenkomende- en uit- 
gaande oproepen, bijvoor- 
beeld om de naam van de 
beller te tonen, 

• je kunt meerdere Asterisk* 
servers koppelen met 
behulp van hef IAX2-protO' 
coL bijvoorbeeld om filralen 
met de centrale te verbin- 
den. 
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Llftling Ss 

irl«r b•ttclnd•tl 

im.mf 

[aitNchkn] 
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Twee Asterisk-servers kunnen via Ket 
1AX2-protocol direct met elkaar 
cammuniceren. 

hcl display verschijnt: 

[macro-inEerneopfoep] 
extern => sJ,LDAPgell 
CALIERIDNAME=\ 

geECallerlOName/${CALlERJDNUM]l 
exfen => s,2,Dial(SIP/${MACRO_EXTENl A 

J( RINGTIME)) 

exfen => s,3,Golo(s4 [DIAISTATUS] J1 
exien => s-\ 

NOANSWERJ,VoicemoilM{ARG1}) 
exien => s BUSY,! Ao<cemail(b${ARGl}) 
exien => _s-., 1 /Gofols NOANSWER, 1) 

Voordai ecn SIP-tekfoon overgaat 
krijgt de variahek CALLERIDNAME 
de waarde die de getCalleriDName- 
i^ctk u!l LDAP gchaald heeft. Hiertoe 
ontvangt hct scrip! het CALLLIilD- 
NUM (het niimmer van de heller). 
Tijdens het opbouweii van liet gesprek 
stuurt Asterisk dc inhoud van CAL- 
LERIDNAME als naam van de heller 
naar hcl SlP-ltieslel. Als je in je 
LDAP-server gegevens eii telefoon- 
nummers van je klanten hebt opgeno- 
men kun je van hen eveneens de 
namen naar STP-tcfeftMms sluren. 

Voor het verzamelen van gegevens 
heel'l Asterisk een kleine database 
waarin paren van skutcls cn hun waar¬ 
de warden opgeslagen. leder paar kan 
tot een family horen. Met deze databa¬ 
se kun je bijvoorbceld een eigen num- 
merherhaiing defmieren, ongeacht het 
gebiuiklc loeslel. Om de gegevens in 
te voeren en uit te Iczen gebruik je 
DBput en DBget^ die je beide kunt aan- 
roepen in hel dialplan: 
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[<iekylt] 
exfen =>\ 

_ZXX, I, Macro) [nterneoproep, $ (EXTEN} ] 
exien => *5,LDBget(toColJ"redial/$\ 

{CALIERID)) 

Bxlen => *5,2,Mocro(inferneoproep,S{loCall)) 
exten => *5,102,Hangup)) 

|mocra-inlemeoproep] 

exien => iJ ,LDAPgetiCALLERIDNAME= 

gelCollerlONome/${CALiERlDNUMl) 

extsn => s,2,DBput(fedial/${ CALLER! DNUM}=\ 

JlARGl)) 

exten => s,2,DiQl|SiP/$tARG1 l,${RINGTtMEl) 
exien => s,3,Goto(s4(DIALS!ATUS],1) 
exien => s- 

NOANSWER,LVo'ceniail(u$(ARGl 11 
exfen -> s-BUSYJ Aoicetnail(b${ARGl)) 
exien => _^.,LGolo(^NOANSWER Jt 

Deze rcgels breiden de macro imer- 
neoproep zodanig uit dal deze alvorens 
verbinding te maken met een under 
toesiel, het paar CALLERIDNUM/ 
toestelnuntmer in dc family redial 
schrijft met behiilp van DBput. Fami¬ 
lies hoeven nki cxplicict gcdeclareerd 
te zijn vodr hun gebmik. 

De met DBgel opgeslagen gegevens 
worden wcer uitgclczen in opdracht 
van het doorkiesnummer "*"5 {doorkies- 
nummers hoeven nkt strikt nunieriek 
te zijn), Als jc dit intoetst* haalt 
Asterisk uit de lumiiy redkil het num- 
mer dat aan de huidige beller is toege- 
kend en schrijft deze naar toCall. Dit 
nunimer wordt vervolgens door de 
macro gchcld Jndien er geen waarde is 
vastgesteld, hangt Asterisk op. 

Twee Asterisken 
koppelen 

Door middeJ van het protocol IAX2 
(Inter-Asterisk eXchange) kunnen 
mcerdere Asterisk servers met elkaar 
communieeren. Dat zoii theoretisch 
ook via SIP kunnen, maar 1AX2 heeft 
zo zijn voordelen, met name wanneer 
het om mcerdere vesligingsplaatsen 
gaat, 

Om de servers te configureren die 
elkaar mocten benaderen via 1AX2, 
gebruik je iax.conf. Dc wederzijdse 
aulheniicatie kan met wachtwoorden 
geschieden, die jc naar keuze als plain¬ 
text of gecodeerd met MD5 als chal- 
Icnge-response-authenticatie kunt ver- 
sturen. Dc bcslc keus is echter om pri¬ 
vate en public RSA-slculels te gebmi- 
ken. Om deze te genereren zit hel 
script axtgenkey btj Asterisk. Als para¬ 


meter hoef Je enkei de s leu tel naam op 
te geven. Normaal gesproken moet je 
de private sleulel beschermen met een 
pass phrase, maar aangezien je die dan 
telkens zou moeten opgeven wanneer 
Asterisk wordt gestart, is dat niet han- 
dig. Daarom kun je ervoor kiezen om 
de sleutel zomier passphrasc te genere¬ 
ren met CLKtgenkey -rr Je krijgt dan 
twee bestanden met respectievelijk 
.key en pah (voor private en public) 
als cxiensie. Plaats deze bestanden in 
/var/lih/mterisk/keys. In listing 2 zie je 
de benodigde entry’s in iax.conf en 
exten,\ions.conf om de twee vcsligin- 
gen van ons lleticve bedrijf in Dord¬ 
recht en Draehtcn via Asterisk te kop- 
pelen. 

Om hcl onderscheid te vergemakke- 
lijken gebruiken de vestigingen ver- 
schillende doorkiesnummers, Het 
be stand icLxxonf van Dordrecht be vat 
de definitie van dc Asterisk van Drach- 
ten. Als * friend' kan deze zdwcI bellen 
als gehcld worden. Wanneer de 
Asterisk van Drachten cen verbinding 
wil opbouwen met Dordrecht, gebeurt 
dit middcls dc sleutel keyAsiDrachten 
zoals gedefinieerd in iukey. Hiertoe 
moet in de directory van Dordrecht 
/var/iih/asierLsk/keys de public key uit 
D ruchte n stDrach ten .pu b staa n. 

Wanneer nu iemand uit Dordrecht 
zijn collega in Drachten wil bellen, 
gebruikt de server zijn eigen private 
sleutel, die gedefinieerd is onder out- 
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Nummerherkennmg met de noam van 
de beller erbij hoeft niet per se met 
LDAP. In simpele gevallen is een Bash- 
script voldoende. 

ix mim 











key als keyAstDordrechr. Dc bijbeho- 
rendc sleutcl keyAstDordreckLkey 
THdet dan we[ in de daartoe behorendc 
directoiy staan. Omdal de doorkies- 
nunimeni van Dracbten van het type 
2xx zijn, leidl Asterisk elk gesprek 
naar zo'n nu miner via hct 1 AX 2-chan" 
nel naar dc server die genoemd staat in 
dc asrDrachten-^ectlt, en wordl hct 
daar verder behaiidcld* 

Meer comfort door 
externe scripts 

Ofschcwn het dialplan van Asterisk 
mogelijkhcdcn bicdL die nauwelijks it 
Dverzien zijn, stuit je vroeg of laat op 
een wens die niet zomaar in hct sys- 
teem is gcrcgcld. Hicr doen scripts 
voor dc AG I (Asterisk Gateway Inter¬ 
face) hun intrede^ waarmee je vanuii 
het dialplan scripts kunl uitviicren. Je 
kunt ze schrijvcn in elke scripttaaJ die 
argumenten op stdin accepteert. Vmsr 
eenvoudige toepassingen is cen bash- 
script al voldoende, wat we in 
de navolgende voorbeelden zullen 
demonstreren. AGl-scripls zel jc in 
/var/l ih/asierisk/ag i-bin. 

[mocrO'inte rneoproep] 

exten => sJ,agi(setCaller1D.ogi,ilCALLERID\ 

NUM}| 

exien => s,2,Dbl(SIP/t (ARGl b$[RINGTIMEl) 
exten => s,3,Goto(s t (DIALSTATUS),11 
exten => v 

NO ANSWER, 1 ,Voicetnail(u i (ARC 1) [ 
exten => s-BUSY, 1 ,Voicemoil(b${ARGl)) 
exten -> _s-,J,Goto(s NOANSWERJ) 

In dit voorbeetd neemt het Ad¬ 
script seiCafierlD het zclten van een 
caller-ID over, Hij wordt opgeroepen 
door de applicatie agi vanuit hct dial- 
plan {extensions.conf). Tussen haakjes 
zet jc dc naam van het script met ver- 
volgens de eventuele argumenten die 
je scheidt door komma's {zoals hier 
hct iiummcr van de beller). Met het 
CLI-comraando show agl kun je zicn 
welke commando’s gchruikt kunnen 
worden in AGf-scripts, Meer infonna- 
tic over een specifiek corniitando krijg 
Je met show agi <comtfmndo>. 

Voor debugging-doeleinden kan het 
handig zijn om gegeveiis die afkomstig 
zijn uit een AGi-scripl tc tonen in de 
CLI. Om dit tc realiseren is het vol- 
doende deze gegevens naar stderr tc 
sturen, Een AGl-scripl met als inhoud 
echo **Hallo Asrerisk** />t^2doetdus 
niets anders dan * Hallo Asterisk’ naar 
de Cld sturen. 

Je kunt cK)k Asterisk-commando’s 


uitvoeren door deze via echo naar 
stdout tc sluren, Wanneer het Ad¬ 
script nioet ophangen, voert deze een 
eenvoudige echo **HANGUP'* uit* Wie 
zich niel wil wagen a an het boven- 
staand gebruik van LDAP, kan even- 
veel met AGI-scripts bereiken. Zo kun 
je ook met hct commando set callerid en 
cen klein tekstbestand ervoor zorgen dat 
de Juiste naam in het display van de 
gebeldc vcrschijnt (zie listing 3). 

Bash-scripting is slechts de kleinste 
gemene deler voor AGLscripts* Het 
werkt nicl bijstcr gebruikersvriendelijk 
en de mogelijkheden zijn beperkt. 
Voor veeleisende en complexe 
opdrachten kun je naasi Perl en Python 
veel andcre prog ram meertalen met 
allerlei bindings gebruiken. Meer 
informatie hierover vind je op 
www,voip-info.org/wiki-asterisk+AGL 

AGI-scripts zijn in staai om bij 
binnenkoniendc oproepen acties uit te 
vocren buiten het Asterisk-sysieem 
om. In het geval van uitgaandc oproe¬ 
pen doei dc zogcnaamdc Manager-API 
heizclfde. Deze laat het toe om acties 
uit te voeren, de resultaten ervan te 
analyseren of geVnformcerd te worden 
over bcpaaldc gebeurtenissen. Als je 
van deze mogelijkheid gebruik wilt 
maken, moei je je ecrsi auiheniiceren 
op dc server. De relevante insteliiiigen 
staan in /etcUisterisk/fnanagerx’onf^ Dc 
naam waarmee je jc aanmcldt komt 
overeen met dc naam van het sectie in 
dit be stand (asteriskadmin) met als 
wachtwoord het gcbruikclijkc daar 
aangegeven secret. Met regels als 
permit cn deny kun je daar ook bepalen 
vanaf welke computers gebruikers zich 
mogen aaninelden* 

[asteriskodminj 
secret “ 123456 
write coll 

deny^O.00-0/0.0.0.0 
permit=10.LL5/255.255,255.255 


LisItnQ 4 


Cptip 

M = 3fUn('ITTP_lEf!ttn; 
htder(*L«eaUsi: tffif”): 
llitiiii " I filTCtoCill/I; 
kUUr J tjnt'tiller'1; 

‘ TO; 

= fJOclspnl^t0dJ*^^'51134% 

IlfrHQ, Serrstr^ IttieQuO; 
fputsUiQUet, 'kticn; UginWVn'h 
fpiitsUiidit, 'Usiflliic: 
fputstlmUt, 'ktret; 
fputs^lsacUt, "Events: 
fpyUOsatUt, 'ktiflfi! 4ri3tnilE\p\ii%; 
fpiUUmUt, ’"CtianMl; SlPncitlir\rU%; 
fpuUUmht, "CvnteU; MvilUrtn"); 
fptits(lsHcU% "EtUn: 
fputsUiackn, 7riarTty: l\r\B’J; 
fjHiUUsoUO, 'Cilitrid; kiUiHrtii*]; 
fpiiUdiAcItt, "Tiirsit: 5(tQ0U\t|Vr\ti%; 
fpyUdmkOi "'Actiint 
]> 


Je klikt op een link, dit PHP-script 
wordl gestart eti je bell hef 
acMerliggende telefoonnummer. 


Daamaast definicer Je met de optics 
read en write comiiiatid classes, waar- 
voor de gebruiker de aangegeven rech- 
ten bezit. 

Om met Asterisk te kuiincn commu- 
niceren meet hct script vervolgens ver- 
binding maken met de Asterisk-server 
op sTandaardpoort 5038* Hierover 
stuun hij dan aansluitend zogenaamde 
‘actions’ inclusief bijbehorende optics, 
of ontvangt hij events* Een lijst van 
alle mogelijke actions is beschikbaar in 
de CLI met .show manager commands. 
Als Je meer informatie over 66ii spcci- 
fieke action wilt hebben, Uiets je show 
manager commands <aciion> . 


Bellen via button of 
hyperlink 

Hct is gcbniikelijk in de wereld van 
CTI (Computer Telephony Integration) 
om een verbinding op te btiuwcn mid- 


Configuratievoorbeelden voor 
koppeling met providers 

Als je zelf een Astcrisk-lelefooncentrale hebt gebouwd cn jc wilt een koppe¬ 
ling maken met een bestaand neiw'erk, vind jc in onderstaande websites de 
configuratiebestanden * 

Budgetphone www.vofpwikLrtl/cloku*php?id“budgetphone 

Free World Dialup www.voip’WikLnl/doku.php?id=fwd 
Ixcoll www*voip'Wlki,nl/doku.php?id""ixcall 

Voiphuster www.voip'Wiki*nl/doku.php?id=voipbuitsr 

Xelop www.vofp-wik(.nl/doku.php?id=xeloi^ 

Xs4oll www,voip-wiki.n|/doku.php?id=xs4all 


iX 3/2006 


109 









PRAKTIJK 


Voice over IP 


Asterisk 

Kant-en-klaar 

In Nederland is een aantal bcdrijvcn 
acrief mcl de oniwikkeling en ver- 
koop van tclertK)nccnirales op basis 
van Asterisk. 


NsoNova 
Tripple-o 
COVIDE 
Qfcsr ICT 
VolPro Nederloiid 


www.as(iym.nl 

www.tbook.nl 

www.covide.nl 

www.t^fostnl 

www.voipro.nl 


ken. De laatste action meldi dc gcbmi- 
ker af, 

Hct hicr bcschrevene werkt pro- 
bleemloos bij een gcring aanial loestel- 
Icn, Maar als er veel gebniikers gelijktij- 
dig dc Manager Interface van Asterisk 
benaderen, kunneti er diverse load-, 
bandbreedte- en seenrityproblemen ont- 
staan. Deze zijn vrij eenvoudig op te les¬ 
sen met een pn>xy, die dc binnenkomen- 
de oproepen afvangt en in juistc voigor- 
dc dtx>rgeeft aan Asterisk. Op www. 
voi p- i n fo.org/lik i- index .php ?page^ A s- 
terisk+Manager+Proxy vind jc hicrover 
meer infomiatie. 


dels een druk op de knop of het aan- 
klikken van een link. Hierinee spaar jc 
ti jd van hel opzockcn van een riummer 
en verminder je dc kuns op hei maken 
van cen font. Met de Manager-A PI kiin 
je deze functies opnemen in 
Asterisk. Om geschiktc commando's le 
lalen uitvoeren nioet de axierisk-admin 
schrijfrechten hebben op de class caiL 

Oni een nu miner te kunnen bellen 
heb je niet aieer nodig dan een website 
die via een link in formal ie van zowel 
de belief als de gebclde doorgeeft aan 
een PHP-scripl. Dat script doet het 
echte werk en krijgt in een query- 
string de nummers van de beiler en 
gcbelde: 

<0 hreH’'diaLphp?loCall = l 00&colUr=l 0P> 
Hugo A. Scholten * 1 00 

<a> 

Dif PHP-script (zic listing 4) gene- 
reert geen UTML-pagina, maar zockt 
de website op door welke het werd 
opgeroepen en stuurt dc browser er 
direct weer been ferug. Aansluilcnd 
wij.sl hct script de variabeleii toCail en 
Ca/ier de waarden toe die het heeft 
verkregen uit de quei 7 -string. Nadat dc 
.socketverbinding is geopend kunnen 
de gegevens naar hel doel worden 
gestuurd. De action l^gin is hcdocid 
v(H>r de authenticalie. Nadat de login 
succesvol is verlopcn (dit script doet 
geen foutafliandeling) zorgt de action 
Originate ervoor dat een nieuwe tele- 
foonverbinding wordt opgebouwd. Het 
nummer dat gebeld moel worden .siaal 
in de Er^en-parameter. In dit geval 
gaat Channe!: SIP/Srailer er vanuit dat 
het toestel van de gebelde dezelfde 
naam heeft als hel doorkie-snummer. 
Voordat het nummer wordt gekozen 
hoort de beiler een audiosignaal. Pas 
wanneer de gebelde opneemt, kiest 
Asterisk echt hct doelnummer. Wan¬ 
neer dit niet binnen 5 seconden (5(XX) 
ms) gebcurt, wordt de actie afgebro- 


Spraak heeft voorrang 

Gebruikers van Voice over IP heb¬ 
ben nogal eens last van een wisselende 
geluidskwaliteit. Toch kun je een rede- 
lijk betrouwbare en continue spraak- 
overdracht bereiken, door gebruik le 
maken van QoS (Quality of Service). 
Ilierbij krijgt de ToS-byte (Type of 
Service) in de header van een IP-pak- 
kcl cen waarde waarrnce routers, swit¬ 
ches, firewalls en dergelijke dc pakket- 
ten met hogere priorileit kunnen 
behandclen. In RFC 2474 en 2475 is 
de ToS-byte overigens henioemd als 
‘diflcrenlialed services field’. 

Je kunt dc/e waarde definieren 
in iax.conf en sip.coni' (lypisch 
4osM)xlH' voor mini male delay en 
veel Ihroughpul, zie kader), maar je 
kunt hem ook door een fiTewall zoals 
iptahics laten toevoegen in de uitgaan- 
de IF-pakkctlcn van Asterisk. Zeer 
regelmatig kom je twk Asterisk-syste- 
men tegen die, verspreid over mecrdc- 
rc vestigingen, aan elkaar gekoppeld 
zijn via VPN. Nietallc hierbij gebruik- 
le software stuurt de VPN-pakkeUen 
cchier inclusicf originele ToS-bytes en 
ook kan een pakket lalcr in losse stuk- 
ken worden verdeeld, Veel VPN-clients 
bieden gelukkig de mogelijkheid priori- 
teit.sinfonnatie over te ncmcn. Zo zorgt 
bijvoorbeeld de optie -pasxtos voor 
deze mogelijkheid in operivpn. 

Menu's, wachtrijen en 
de toekomst 

Aslcrisk_biedi veel meer functies dan 
we bier kunnen bespreken. Alleen al de 
toepassingen zijn tallons (teleconlercn- 
tics, SetMusicOnHold.,.). Ook voice- 
menu's behoren tot dc mogelijklieden, 
waarmee de gebniiker doi.>r cen hierar- 
chische recks van keuzes word! geleid. 


Asterisk op het web 

Homepoge www.aslerisk.org 
DocumentoHe www.asle1Okdots.c19 
VolP'Wikf www.voip'info.org 

VolP^Wfki NL WWW.voip-wikt.nl/ 
doku.php 

OperrPBX www.openpbx.org 

Aslefisk e. V. www.osterisk-ev.org 

Dan Zijn er nog call queues, volgens 
welke Asterisk gesprekken doorzet naar 
locstellen, en door Asterisk te combine- 
ren met hct prograinma Festival krijg je 
spraaksynthese (het maken van een 
computerslem). Wie alle facetten van 
de open-source tclefooncentrale wilt 
leren kennen, zal naar een bock inoe- 
ten grijpen [ 1 ]. 

De mcestc Asterisk-centrales in 
bedrijf dragen momenicel het versie- 
nunimer I .x, maar met de release van 
de l.2-seric dienl cen nieuwe stabiele 
branch zich aan. Hierin behoort de 
omslachtige prioriteitophoging met 
101 ill hct dialplan tot hel verleden,en 
wordt dit vei'vangen met variabelen. 
Hcl dialplan zelf is uitgebreid en mk 
voicemail heeft meer mogelijkheden 
gekregen zoals hel opnemen van een 
tijdelijke meldtekst zonder de al inge- 
sproken meldtekst te overschrijven. 
Ook zal het inladen van nieuwe data- 
basegegevens niet meer leiden tot een 
verplichtc herstarl van de server. Nog 
.steeds in oniwikkeling is een nieuwe 
programmeertaal voor het inrichten cn 
heheren van een dialplan, de Asterisk 
Extension Language (ALL). 

Als je wilt meewerken aan de oni- 
wikkcling van Asterisk en je wilt jc 
code in de officielc release opgenomen 
krijgen, dan moet je er wel in locslcm- 
men dal de rcchlen van je code hij de 
firma Digium komcn tc liggen. Dit 
bedrijf [evert Asterisk namclijk zowel 
under GPL-licenlie als in commercielc 
vorm. Dat is waarschijnlijk ook de 
reden dat openpbx als een soon van 
zijtak van Asterisk is ontstaan. 

THILO ROSIER 
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ols VolP-consultanI voor Architects of 

MP GmbH_ 

Literatuur 

11 j Jared Smith, Jim VanMoggelen, 
Leif Madsen; Asterisk; O'Reilly; 
ISBN 0596009623 Jj 


110 


iX 









PRAKTIJK 


Webdevelopment 





JSON en JSON-RPC 


Bewust slank 


Sven Neuhaus^ Pieter-Paui Spiertz 


De Ajox-hype is nog oi'ijd in 
volie gong, moor wie zich 
doorbij strikt can XML houdt, 
verspilt op diverse monieren 
energte. Hef jovaScripf- 
dotabrmaot JSON biedt een 
eenvoudiger aliernotief. 


S teeds nicer websites gebruiken 
Ajax, een techniek om snel delen 
van een pagina te kunnen actuali- 
seren [1]* Maar XML, de x uit 'Ajax’, 
is daarvoor niet altijd ideaal* Veel 
JavaScripts op Ajax-websites zouden 
er een stiik eenvoudiger en sneller op 
worden als ze niet voortdurend op de 
conversie tussen strings en data hoef- 
den te letten. Gelukkig is er een notalic 
die dichterbij JavaScript staat, 
genaamd JSON. Deze afkotting staat 
voor JavaScript Object Notation' en je 
spreckl het uit als de Bngelse voor- 


naam Jason. JSON is een simpel data- 
uitwLsselformaat dat, zoals de naam al 
verraadt, gebascerd is op een subset 
van JavaScript. Om het te gebruiken 
hoeven JavaScript-, maar ook Python- 
ontwikkelaars daarom bijna niks 
nieuws te Icrcn. De notatie kan lijsten, 
strings, getalJen en objecten represen- 
teren. 

Met objceien worden hier associatieve 
arrays (hashes) bedoeld, Deze structu- 
ren zijn in de meeste mod erne pro- 
grammcertalcn in identieke of bijna 
gelijke vorm beschikbaar, wat het 


gebmik van JSON verder vergemakke- 
lijkt. 

In tegenstelling tot XML is JSON 
niet uitbreidbaar. De 'uitvinder' van het 
formaat, Douglas Crockford van 
Yahoo, is van niening dat uilbrcidin- 
gen onnodig zijn. Daarbij moet dan 
wel vermeld worden dat de notatie van 
exponentiele getalleii in een cerderc 
versic van de standaard nog ontbnik. 

Als codering gebruikt JSON Unico¬ 
de* Daarnaast zijn eiikele specialc nil C 
bekende sequenties geldig, zoals V? als 
newline-teken, \i als tabteken on 
\LtXXXX voor Unicode-te kens. De syn¬ 
tax komt overeen met JavaScript (zie 
ook het kader) en is bijna volledig 
Python-compatible. De JSON-websitc 
be vat momcntcel implementaties van 
JSON-parsers en -generatoren in 22 
verschilJende programmeertalen. 

XML is fe omslachtig 

Een van de belangrijkste nadelen 
van het gebiuik van XML is de moei- 
zamc bcnadcring ervan via de DOM- 
APJ. Vroeg of laat zullen ontwikke- 
[aars hiervoor E4X gaan gebruiken 
(EcmaScripl vtx^r XML, zie [2]), maar 
dat is nog niet voor alle browsers 
beschikbaar. De browser zal de data 
die hem door de Webserver worcit aan- 
geieverd in de regel kunnen veitrou- 
wen, dus bet parsen van de door JSON 
gcscrialisccrde objecten vergt niet 
meer dan een eva/fj-oproep. Daarna 
zijn ze direct als native JavaScripl- 
objecten ter beschikbaar, 

Ook in Perl kan JSON gebruikt 
worden, dankzij de JSON-module in 
hel CPAN (zie online bronnen). Hicr- 
mee worden de functies objToJsan en 
jsonToObj geVntroduceerd. Daarnaast 
is ercen 00 Printer face. Een voorbccld 
staat in het Perl-script in listing L 
Hierin wordt een record met informatie 
over een conferentiebeztxkcr cn zijn 
geboekte cursussen omgezet in zowel 
JSON als XML* In listing 2 wordt het 
resullaat getoond* 

Terug naar JavaScript. Om daarin te 
kunnen werken met de recorddata in 
XML-forniaat (zonder E4X), zou na 
hel parsen van de XMI, een stuk code 
noodzakelijk zijn zoals in listing 3 
staat. Het wordt nog langdradiger als 
tags met identieke namen in verschil- 
lende hierarchielagen gebiiiikt worden, 
omdaC geiElememsByTagNameO in dat 
geval niet zonder mcer bruikbaar is. 
Met JSON kun je de gewenste 
lijst nieteen na var bezoeker = 
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Llitlvig It Perl nittt JSON^madfulo 

USE JSDI 

m qifdliLQiJt); 

ny Sbfzocker = f 
id => mm, 

nanE => '3 «efi It&uhaus^ 

Mail => ’s¥e^^eu^pU.co■^ 
opl&ge^enjursjsstn => C 5^ 1\, Ilf ki ], 

pnrl “lEzgEtfr in iSOlAn" . 

pbjTgJsgftdbezoiker, { prstly => 1}) . ’’U'; 
prinl "Stiofkep in . 

IMLoutiSbHQfikar; NaAttr -> V RoQtltaM => 

^bezMhf'I; 


evai(jsonstring) gcbruiken als 
bezoek€r,opgegeven_cur$us . 

Verdeeld werken: JSON- 
RPC 

Analoog aan XML-RPC (dat later 
werd uitgebreid tot SOAP) is cr cen 
interface voof remote procedure calls 
gedefinieerd met JSON (zie online 
bronnen). Daarmec is communicatic 
tussen verschillende systemen moge- 
lijk. Ook hier hebben de ontwikkeiaars 
vooral op ecnvoud gemikt. De specifi- 
catie be perk t zich momenteel tut bet 
(vermoedelijk het nieest voorkomende) 
gebruik van XMLHttpRequest, voor 
HTTP-requests die programmeurs 
vanuit HTML-formulieren verzenden. 


Listing 2: llttvnorvttn listing 1 

in JSOI: 

{ 

'■flail" I "iveriexaipli.cM"^ 
"ppgFgevEQjiirsiissEii'’ : t 


3, 

"naif* : “Sven l««baas", 

"id": mm 

} 

lEzoeter in Hll: 

<baz(»ftEf> 

Nfiitiiaus</n3iE> 

<EBail>svppaeiaipl«. cuKleifi Ij 
< id>«104S</iil> 

gtvf n^cii rsn s seii>5<l upf tgev e njv r sas s 
< Bpg E ge V E ni_c irr s iz JSB it>Z 1 </ 5 j>gf g«¥E ii_cu rsu s &pr> 
^ m i 9PV E nj If f s ussc <i Qjfgegcte ni_c u r su s st(i> 
copg E gf V En_c ur sussf o pgtg t ¥En_c iirsu s Sieii> 

<(ipg f gey e n j ur s usse ii>tD< f a pgfg fvf nj ursu s &eii> 
<Qpg f ge y snltur sbs Bta>t pg(g t¥tn j ursy s sm> 

</bcn>tlcr> 


De website van JSON-RPC vei-wijst 
naar impkmenlattes in acht ver- 
schillende programmeertalen. Voor 
requests voorziet de spectficatie in drie 
attribulcn: 

- method: naam van de methode 

- params: lijst van objecten die a^an de 
mcthodc worden doorgegeven 

- id: request-id, waarmee de asynch- 
roon arriverende antwoorden aan het 
betreffeiide request worden toe be- 
deeld. 


V(K)r oudcrc browsers is deze bijv^Kir- 
beeld nog onvolledig. 


Liiting 3 

var opgEgfVEn.cursussfn = mu ftrriyO; 
m wm - xildot.gatllMintsSyTiglnEC'gpgfgEvMjiiniissEnO; 
for (wr i-Q; i < EiifsusJfEigtl; itO { 
gpgeg e feJi_tD r jo s s en, pusbl cu r su s [i ]. t i r s ttli i id, hu ) ; 

I 


Voor antwoorden zijn er ot)k drie 
attribute n: 

- result: resultaai-object. Is null 
als cen tt)ut optreedt. 

- error: foutobject. Is null als gecn 
fout optreedt, 

- id: rcquesl-id 


listing 4» |soii<^«gl«pl 

l!/ifsr/biri/ptfl -tT 

use JSflllltPC::TrjMp&rl;:BTTP; 

J SO IBP C: U F a nspM l:: IT T P:: f 51->d i s pi t e IJ o (' S bod t be k ‘ ^-^bard I f; 
pacUgf Sboutbifa; 
if5( strict; 

use TiiE::liiBes I tijd <fp 1/100 pmm 

ifM bll; 

ust ITIi:: ini ties fletEnccdejAtliies); 

Ilf Ittbh; 

Sfib updatejnt if hritbt epslaan in nieuv uitUveren 
ty {IserTePi ijarais) = ij P tserter is JSOItPC 0 |eU 

f illeeti uftttinted date legen in de db 

Ssib = 0BHciiiiBfct_c3tliFdf'dbi:B)f^({l;dbiiiie-jlieutj}ei^ '' 
'V t liiatin =>1 }\ 

nr dif Mlsrerrstr; 
ii Upareistil] m ’'] ( 
f nieuv beriefit biMfH 

Sisg = frcedEjFttitifsdparansEO}]; I Entities ipv. 

CMtrehcbars 

Insj =- f no {fnsEhuLdiir pittet-n-HatcIi frever 

Sn^g = t1; I Ptaiet 

-SObb->->cidq{ INSEIT-ilTO isHtiirttit, bEricht)- VatltS-tt^^rV 

iiBOef, intitiifd ‘ 1000), tnsg); I in {ib opsLiin 

) 

j Dudf be rich ten pipfiBlfr 

ny $asgi - lDbfe->setEctilljrrayf«f{q( SIIEU datiii, bfriebt 
fSfll nsg OllEBE ditm >0 0»&£l BT tfsiiii ), ondef, 
Spariidllli; P tijdstfnpfl yan client 
return t non ^.intltiwi^ * lOllOJ, nsgs -> Sisgs 1; 


J 


Verder bestaan er nog zoge- 
naamde 'notifications^ Dil zijn 
requests waar geen aniwoord t)p 
voIgt, Deze onderscheiden zich 
alleen van gewone requests door 
de waarde 'null' in het veld id. 

Aan de hand van een shoatbox, 
cen schoolbord waar bezoekers 
tekstjes op kladden zoals je dat 
wel eens op webfora ziet, laten we 
nu zien hoe Jc de Perl-module 
JSONRPC:.‘Transport::HTTP gc- 
bmikt, De berichtjes worden in dit 
geval in een SQLite-database 
opgeslagen, Deze bevat alleen de 
tabel 'berichten' met de kolommen 

_'datum' cn 'bericht'_ 

lasting 4 toont de funetic upda- 
te_box()f die twee parameters ver- 
wacht: een nieuwe (optioncle) 
tekst, die in de database moel 
worden opgeslagen, en het tijdstip 
van dc laatsic kecr dat de shout- 


Online-bronnen 

Homepage von JSON 
www.json.org 
JSON-RPC 
|son<pc,org 

j ova script Archive Network (JSAN] 

wwv/.o pefvfsan.org 
pbneiopensian.org 
Perl'broncode voor JSON en JSONRPC 
search.epan.ofg/" makofflaka/JSON^^ 1.01 / 


box is opgevraagd^ aan de hand waar- 
van nieuwe berichten uit de database 
kunnen worden gchaald. Het script 
gebruikt daarbij Peris taint-modus (de - 
7-vlag in de eerste regel). Deze dwingt 
af dal data uit onbclrouwbare bronnen, 
zoals het internet, voor potentieel 
gevaarlijk gebruik eerst moet worden 
gefiltcrd met een pattern match. Als de 
ontwikkelaar dat vergeet, beeindigt de 
Perl-interpreter het script tijdens runti¬ 
me, Ook dc bij dc DBI::connect_ 
cached aangegeven vlag Tainthi is 
bedoeld om te eisen dat data gezuiverd 
wordl voordal deze gebruikt wordt in 
database-operaties. Zo worden veilig- 
heidsgaten uitgesloten die ontstaan 
d(K>rdal ontwikkeiaars vergeten data te 
checken. De bijbehorende HTML/ 
JavaScript-pagina wordt getooud in 
listing 5. 

Hier wordt de module HTTP- 
Requc'sf van het OpenJSAN-project 
gebruikt. Open- 
JSAN is een 
JavaScript-biblio- 
theck vcrgclyk- 
baar met CPAN 
voor Perl [4]. De 
module HTTP- 
Request dlent 
ervoor om brow- 
ser-incompalibili- 
teiten in de con¬ 
text van het 
XMLHnpR equest 
te verbloemen. In 
een volgende 
versie van dc 
module moeten 
ook oudere brow¬ 
sers Z{>nder deze 
functies transpa- 
rant ondersteund 
wx>rden, dankzij 
functies met i/m- 
me en andere 
workarounds. 

De antwoorden 
die de Webserver 


JSON- 

Syiifax 

Objecl 
{ Allributen ) 

{} 

Altnbulen 
Siring: Woarde 
Affribute, Siring: 
waarde 
Lijsi 

[ Elementen ] 

[] 

Eferaerten 

Waorde 

ElemenleFT^ Waorde 
Waarde 
Siring 

Getol _ 

Object 

Lifsl 

true 

false 

null 
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Lifting «h«wtbnx,litiNl 


<mam wthl niBiit 

) 

urn i.iu/a- 

}}; 

‘/ /nii .u3.&r|/TI/niU/nr1n 

tit.viluE = // Teht lo bt fnvoervcld u bt vfrniir«fl iiim 


tUJflCBiE); // 6«triTter iw verltre tdit intctrdi 


) 

ctitiE) tcio 

fiijiaiaa NritlinrttrijEiLtl ( 

iSfjr=''i(U/ji»Kfipr src='jnni.|s"></stn|in> 

vtr docuiEfit.getELniBMyldCHeergiir?^}; /MlV mr ttkst 

4tri ft tfpKndEt/JliflScnpf jCn/scrl|it» 

11 trESdlt ll rtsult.isisl ( // antniifd op dt npdiUj^i 

ijfpe="tot/hmEnpt‘J> 

3ir^e_iss.irtriiE(resuU.iiDO; // mmi tintstiip IiniikiA 

vir req, Id = 0, slitce.iss = neu Bind; 

fflf (vEf 1 = 0; 1 « rcidt.ngs.lrnqtli; i++J ( 

// S m? gnidcfi 

m irben = nfv BiUO; 

siAcejS9.£itfiietiiEy BiteO.gElliuO - IDOd t dO « iQ * SI; 

iikr.seifiiifiresyttBsgsriJtDB); // Tfiestjip mr {output 

Butpift.linurnm t= ilii^ t ' t rniflt.ngEEiKO t 

knctlc^ aUttitheriii U ( 

txt = dKuient.setELntntBjrldmiivQer'); 

) 

nq = m nnr.K^ueUq 
urk -/mrl/jjgfl'. 

1 

} 


< her let > 

letboi : 'upditEj«s' , 

</htid> 

ii: U**t 

^body onleid-*aUpilifEreii(t;'> 

pariit : C m.nUei lincE itg.gitTliEf) ] 

<i«cript><ll>JiHScf1j»t Is flEdtiltlmfd, 


■nr h let n 0 dii!</n> 

6aSiicc«es; liMctloii ({rml ( 

</llflStf1pt> 

nr iiU; 

(feri lOiwp'i' eiSBhi1t='flktMyMrei{h''> 

try i 

Hr Tnt: t|rpE=*t(re id=*1nBfr* 

«r dai s fifilOt'totiu.mpDiimHoqq; // JS(t "ptrsia- 

<iii(Hit trpf=“b4itt(m' iialat='2f[yd«ft t 

1 cinbio i 

wtUn=*ilt0ilistr(uU;"> 

itirtCfvih vivqUdif m\ * * 0; 

<M6ri> 

^ fOwrnj 

<4ii 1d=^ttittMr''*</dm 


// hNr iw jf n«g Qf diU.err&r tciten 
bruhtmtdin.reEiEtl; 



asynchroon terugstuuH worden door 
een anonieine call back-functic afge- 
werkL. Intcressant in deze context is 
ook dat responseText met de in iSON 
geserialiseerde objecten heel cenvou- 
dig aan eml() wordt doorgegeven en je 
vervolgens direct het (JavaScript-) 
object kunt gebruiken. 

Cross-domain API's 

Veel infornialie die op de websites 
van Yahoo, Google en del.icio.us tc 
halen is, is ook vtK>r exteme websites 
beschikhaar via een APL Op die 
manier kunnen o.a. zogenaamdc mas- 
hup-websites die gegevens met andere 
data combineren. Sinds kon geven 
bijna alle API’s van Yahoo op verzock 
geen XML tcrug, maar JSON. Dit 
biedt een vorm van gebniik die bij een 
normaal XMLHttpRequest niet mogc- 
lijk is. Je kunt op eenvoudige wijze 
dc CRiss-domain-beperkingen daarvan 
omzeilen. 

Met werkl als volgt. Achter de nor- 
male YahtKy web service call voeg je 
twee parameters in: 

&oiitpuh=json&c d I bock=m i jn Fu ncMe 

De geretourneerde data ziet er als 
volgt uit: 

mi|nFuncNQ({ de JSON sloaf hier 

Als Je Jiu mijnb’unctic dcfinieert in 
je code, wordt deze aangeroepen op 
het moment dat het script geladen 
wordt. Het is belaiigrijk urn Lc weten 
wanneer dat gcbcurt, want dat kan 
asynchroon gebeuren. Om een request 


naar een under domein te maken, lets 
wat niet kan met een normaal 
XMLHllpRcqucst, hoef je alleen maar 
gebruik te maken van de DOM: 

var script = documentcreotf ElemenlDcnpl’): 
scripirype = 'texJ/favascripl'; 

SCfipl.src = + 'l!OuJput=json&ca1lbflck=\ 

mijfiFuncHo'; 

dociimen LgerE lemenUByTa g No me(' head') [0] A 

a ppendChtIdi script); 

Op deze manier wordt het van 
elders opgehaalde script dynamisch 
aan de DOM-tree toegevoegd. Omdat 
HTML progressief gerenderd wordt in 
veel bn>wsers, wordt het meteen uitge- 
voerd. Zie ook [4}. 

Conclusie 

Dankzij Ajax is er een nieuwe 
JavaScripLtak ontstaan. JSON is daar 
een typisch ondcrdecl van. Het ver- 
inijdt de features van XML die niet 
bcdoeld zijn voor de pure dataoverd- 
racht en waarvan dc spccificaiies al 
mecr dan 50 bladzjjden innemen. 
Dankzij beschikbare implemeiitaties in 
allerlei program mcertalen kan het 
direct in Ajax-projecten gebruikt wor¬ 
den. Met een DOM-truc en wat hulp 
aan de serverkant werkt het zelfs 
cross-domain. 

JSON hiedt dus snelheid en extra 
functionaliteit, maar als 04X eenmaal 
in alle populairc bmwsers besehikbaar 
komt, valt de noodzaak voor het 
bestaan van JSON weg. Daarnaast is 
werken met grote JSON-ohjecten 
omsiachtig in vergelijking met de 


fuiictionalitcit die XMI. daarvoor 
hiedt, zoals XPath. In februari heeft 
Douglas Crockford voorgcstclJ dat 
browsers een JSONRcquest-tunctie in 
hun JavaScript-implementatie opne- 
men, die een variabele codeert als 
JSON-tekst, cen HTTP POST-request 
met die tekst doct en het antwoord 
terugparseert in een variabele. Dc 
functie moet tevens ondersteuning bie- 
den voor duplex connecties, zodat er 
een request kan dienen om te zenden 
en de under om tc ontvangen. Ook dit 
is goed bedacht, maar niet meer nodig 
als de kunstmatige beperking eenmaal 
is opgeheven dat een XMLHttp¬ 
Request geen cross-domain requests 
mag doen. Met name over de security- 
implicaties daarvan is het laatste 
woord nog niet gezegd. 

SVEN NEUHAUS 

programmeert webapplicaties en is 
sotlware engineer in het team von 
Heiae Online. 
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IPv6 tutorial (deel 3); 

services, dual stacks en 'internet6' 

Goedgekeurd 

Benediki Stockebrand 

Voor een volwaardige lPv6-omgeving moet je buiten de 
noodzakelijke IPv6-services ook nog een brug slaan tussen 
de IPv4- en IPv6-wereld. Bovendien moet je ervoor zorgen 
dot de externe verbinding IPv6 ondersteunt en grondig is 
beveiligd. 


N u we in de voorgaaiide twee 
delen van dc/£ tutorial dc lijn- 
damentele opzet van een IPv6- 
netwcrk hebbcn besproken [4], is bet 
nu tijd om de ovcrigc beiangrijke 
IPv6-netwerkservices in te richten. 

Gclukkig bieden de meest recente 
versies van veel pmgramma's al onder- 
steuning voor IPv6, zodat je maar heel 
/xlden zeir met een compiler aan de 
slag moet. Voor een overztcht van 
IPv6-diensten geef je bij Solaris 9 en 
de BSD’s dc opdraeht 

# neUlol -Q 'f inet6 

en bij Linux 


# nel 5 taf a *A inet6 

Bij de hier beliandelde Unix-varian- 
ten is OpenSSH al geschikl vwr IPv6* 
In bet kader 'Doe-het-zelf OpenSSH' 
kun je lezen hoc je SSH voor het in- 
mid dels ve rouderde Debt an Woody cn 
de overige Unix-varianten aan de hand 
van dc bnmcode zelf kunt compileren, 

Hetzelfde geldt voor inetd bij Sola¬ 
ris en de BSD's en xinetd bij Debian en 
Fedora Core 2+: alien zijn geschikt 
voor IPv6* Debian gebruikt standaard 
ecliter een lFv4-tneld^ zodat je xinetd 
nog moet inslalleren* Het gebmik van 
(x)inetd, de Internet Services daemon. 


is suwiesu interessant, omdat je een- 
voudige proUxrollcn hicmicc zonder 
verdere aanpassingen IPv6-onder>iteu- 
ning kunt bijbrengen. Alleen als IP- 
adressen in databestanden worden uit- 
gewisseld of door het OS worden 
opgevraagd om informatie te krijgen 
over de bestaande verbinding, is deze 
kunstgreep nutteloos. 

Als jc xinetd gebruikt, meet je in de 
contlguratie van dc services waarvoor 
je de lPv6-ondersteuning will aclive- 
ren de regel ’nags=rPv6’ toevoegen. 
Bij Debian gebeurt dat in 
/etc/xinetd.conf voor alle services, bij 
bedora in /etc/xituHd.d/<service> met 
aparle eonfiguraiicbesianden voor elke 
service. In listing I staatcen vtKirbeeld 
aan de hand van de echo-service. Bij 
bestaande eonfiguralics die echter niet 
actief zijn, moet je soms de regel ’dis- 
able=yes' schrappen, 

Dc inetd-&dcmim in de BSD's en 
Solaris verschilt van xinetd o.a. qua 
syntax* Om een service IPv6-onder- 
steuning bij ic brengen, moet je voor 
de service in hcl he^tnnd/etc/inetdx'onf 
in dc protocolkolom in plants van 'tep' 
of 'udp' nu 'tep6' of 'udp6' opgeven. In 
listing 2 laten we dit wederom zicn aan 
dc hand van de echo-service. Maar let 
op, want cr is een punl waar de BSD’s 
en Solaris aanzienlijk van elkaar ver- 
schillen: voor de BSD's moet je twee 
aparte regels invoeren, een voor IPv4 
en een voor IPv6* Bij Solaris volstaai 
'icp6’ of 'udp6’, waarmee de dienst 
voor zowcl IPv4 als IPv6 wordt 
gestart* Slrikt genomen is dit nict een 
eigenschap van inefd, maar een insteb 
ling in de kernel urn IFv4“adressen 
transparant om te /.eitcn naar 'IPv6 
mapped IPv4 addresses'. 

Ook e-mail wcrkl under FreeBSD 5 
en 6, NeiBSD 3, OpenBSD 3*8 en 
Solaris zonder verdere aanpassingen. 
Bij Debian wordl Lixim middels inetd 
gestart, Als je in plaats van inei 
gebruik niaakt van xinet cn je in het 
bijbehorende configuratiebestand de 
hierboven beschreven procedure voor 
SMTP“Ondersteuning van IPv6 hcbl 
gev(tlgd, kan Exim ook met IPv6 over- 
weg, Als aUernatief kun Jc Exim als 
standalone server starten, Fedora komt 
met Scndmail dat in principe al 
geschikt is voor IPv6, maar de eonfi- 
guratie staat geen IPv6 toe. Zie het 
kader ’Sendmail met IPv6' voor meer 
details. 

lets minder rooskleurig ziet hel eruit 
voor hel wcrcldwijde web, Gangbare 
browsers ondersteunen IPv6 wel, maar 
noch Apache I ,x tioch Squid als proxy 
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IPv6-Tutorial 

Deel I beschrijft; de contlguratie 
van routers en hosts. 

Dcel 2 behanddt hct instellen van 
DNS onder IPv6 

Deel 3 beschrijn het geliruik van 
andere beBangrijke netwerkservi- 
ces en dc mtcgratie tusseii fPv4 en 
IPv6. 


bcrkcnncn IPv6. Als yitweg kun Je een 
berocp doen op Apache 2, dat gelukkig 
wel raad weet met IPv6 en dc proxy- 
I’unelics van Squid kan vervangen. In 
hoeverre zelfgeschreven modtiles, 
CGI-programma's en dergelijke bij- 
V(K)rbeeid voor logging-doclcindcn IP- 
adressen gebriiiken en daarom met 
[Pv6-ondcrsteuning udgebreid mocten 
worden, kan allccn in individuele 
gevallen bekeken warden. 

Bij RPC en daarmee ook NFS is de 
siliialic nog ved minder duiddijk. Tcr- 
wijl Solaris, Free- en NetBSD een rpc- 
bind met IPv6-ondersteiming leveien. 


lopcn Linux en OpcnBSD op dat vlak 
ver achter. 

Randapparatuur met ondersteuning 
voor IPv6 is op dil moment nog nau- 
wdi jks in winkels te vinden. Toch zijn 
fabrikanren bier wei mee bezig, zo is te 
zicn op dc IPv6 Rcady-wcbsiic \5\. 
Een lPv6-netwerkprinter is nog altijd 
net zo moeilijk te vinderi als een IPv6 
PXH-ROM* waarmec cen computer 
over een lPv6-netwerk zou kunnen 
opstarten. I let is te hopen dat de 
marktdruk vanuil Zuidewst-Azie dc 
1 eve Fanciers eitoe aanzet om meer 
appliances te ontwikkelen die IPv6 
ondcrslcuncn. 

Als je naar de huidige opensource- 
projecten kijkt, zul Je zien dat veel 
daai'van al IPv6 ondcrstcunen, of cr op 
zijn miiist aan werken, ook al schreeu- 
wen ze het niet van de daken. Open- 
LDAP, Couricr-imapd cn BSD-lpd 
werken al met IPv6, voor CUPS geldt 
dat vanaf versie 1.2. 

Dual stacks: IPv4 en 
IPv6 naast elkaar 

In het eerste deel van deze tutorial 
vertdden we al dat IPv4cn iPv6 paral- 


Doe-het-zelf OpenSSH 


Voor het compileren van OpenSSII 
heb je de broncode van www.open- 
ssh.org/pub/OpenSSH en de libraries 
zlih en libssi tnclusief de bijbehoren- 
de headerbestanden nodig. Voor De- 
bian Woody en Sarge heten die libra- 
ry-bestaiiden zlibl^-dev en lilml-dev. 
Bovendien oiitbreekl de PAM-biblio- 
thcck lihpamOg-dev. 

Nadat de sources zijn uitgepakt kun 
Je OpenSSH compilercn cn inslalle- 
ren met behulp van de volgende com¬ 
mando's 

# ./configure --syscQnfdir-/etc/s£li 

# make make Install 

Alleen bij Debian meet je daarnaast 
in het amfigure-^enpi dc optic -- 
with-pam' opnemen, zodat je via SSH 
met een wachtwooid kunt inloggen. 
Bovendien voorkom je probiemen 
tiissen Linux en OpenSSH door in 
/etc/ssh/sshd_config de opties 


UsePAM yes 

UsePrlvilegeSeparation no 
op te nemen. 

Om te zorgen dai x^hd staii bij bet 
booten, is ook nog eeos een boot- 
script nodig. Je kunt hiervoor cen be- 
staand script gebruiken dat voor een 
IPv4-versie van SSH besiemd is. Ais 
altemalicf volslaat cen bestand 
/etc/init-d/sshd, met daarin 

#1 /bin/sh 
case in 

%\or\] /usr/loco!/sbrn/ssbd 
stop) kill 'cal/vQr/run/sshd.pid' 
esac 

dat uitvoerbaar is gemaakt met chmod 
755 /etc/inii.d/sshd. Dit wordt ge- 
woonlijk ingcrieht niiddcls symiinks 
als /etc/rc[2345} .d/S99sshd, zodat 
sshd automatisch start bij nieuwe re¬ 
boots. 


Jl-TRACT 

• Voor hel opzeUen van een ver- 
binding mef 'internet6' heb je 
diverse mogelijkheden, zools 
gratis fjnneldiensten. 

• IPv6 biedt geb ruikers die 
gewend zijn aan NAT ongeli- 
mileerde onlwikkelingsmoge^ 
lijkheden, maar het brengl ook 
vellfgheidsrisico^s met zich 
mee doordat alle clients rechf 
streeks berelkbaor zijn. 

• Als je op dit moment een 
netwerk gaot opzetten of 
upgroden, overweeg dan om 
IPv6-componenten te kopen. 


lei naast elkaar op een computer actief 
kunnen zijn. Hierdoor is het mogelijk 
om IPv6 tc gebruiken zondcr dal Je 
IPv4 meteen overboord hoeft te zetten. 

Voor het iiirichten van een dual 
stack conllgurcer jc IPv4 op dc gebrui- 
keli jke wi jze en onafhankelijk daarvan 
vervolgens IPv6, zoals beschreven in 
het eerste dccL Met hcl commando 
ifeonjig -a kun je nu zien of de inter¬ 
faces zijn geconfigureerd als zuivere 
IPv4- of IPvb-intcrfaccs of als cen dual 
stack-interthce, die in hetzelfde net- 
werk zowel IPv4 als IPv6 ondersteunt. 

Draai je een server» dan is hcL nu 
rijd om services zodanig in te stellen 
dat deze ook zowel IPv4 als IPv6 aan- 
kunnen. In de meeste gevallen is dal al 
geregeld in de standaardconftguratie, 
maar in het Sendmail-kader kun je zien 
dat je soins wat extra optics mod 
opgeven. Als je al je servers op een 
dual stack laat draaien en alle IPv4- 
only services bereikbaar maakt via 
proxies of application gateways, dan 
beef je de TPv4-ondersteuning op de 
clients binnen de omgeving niet eens 
meer Lc aetiveren. Van de basisdien- 
sten zijn DNS, NTP, SMTP en HTTP 
van huis uit geschikt voor proxyge- 
bmik. 

SSH is een gevai apart. Hiervoor 
bestaan namelijk geen proxies. De 
BSD-vcTsics losscn dat op met dc zo- 
genaamde Taith-interface. Hiermee 
kun je voor vaste poortnummers via 
een 'Transport Relay Translator' (TRT) 
op IP-niveau netwerkpakketjes conver- 
tereJt van v6 naar v4. Dat is vanwege 
de hoeveel extra behecr en de beper- 
king tot vaste ptHJrtcn echter maar een 
tijdelijke oplossing. Niet-BSD-gebrui- 
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kers kunnen ook eeu extra dual stack- 
computer inrichteii* Mierop loggen 
gebruikers dan in via SSH over IPv6, 
om vervolgens via SSH over IPv4 het 
eigen iijke doelsysteem te benaderen. 
Maar ook dal is niet bcpaald handig. 
Er is nog een alternatief, niaar daar- 
voor moet je wel de beschikking heb- 
bcn over cco Cisco-roulcr, Adi veer 
hierop NAT-PT ('Nemork Address 
Translation-Protocol Ti anslatioiV). Net 
als TRT vcrtaal jc biennee op IP- 
niveau pakketren tussen IPv4 eii IPv6. 

Overal bereikbaar 
maar toch veilig 

Voordat je de aansluiting met ^iiiter- 
net6’ activeert, is bet verstandig om 
even stil te siaan bij ecn paar be veil i- 
gingskwesties. Een van de voornaam- 
ste redeiieri om IPv6 te gebruikeii is de 
beschikbaarbeid van globaai gerou- 
teerde adressen, waardoor het gebruik 
van NAT overbodig is* Aan de andere 
kanl rs NAT wcliswaar ecn grove, 
maar wel doeltreffende manier om 
verbinditigen via een router slechts in 
ecn richling toe te staan, Dil voorkoml 
nienige aanval op je netwerk* In hoe- 
verre NAT daadwerkelijk de veilig- 
heid verboogl is emderwerp van lallo- 
ze, veelal dogmatische discussies. 
Ilierbij moet echter niet over het 
hooPd worden gezien dat jc met glo- 
baaJ gerouteerde IPv6-adressen even 
goed ook ongehiiiderd van buiten te 
bereiken bent. 

Voor IPv4 bestaan daarom-veel 
goede packetfilters. Jammer dat dat 
voor IPv6 nog niet bet geval is. Allcen 
het packetfilter 'pf van OpenBSD (en 
FreeBSD, mits geporteerd) is in staat 
IPv6-verbindirigen 'statefur te lllteren, 
terwijl de sfandaard packetfilters van 


I Jnux en NetBSD dit alleen 'stateless' 
kunnen* Daarbij ondersteunen deze 
enkclc belangrijke nitercriicria niet of 
onvoldoende. Maar ook PF loopt 
tegen zijn beperkingen aan tijdens de 
stateless auloconilguration, zodra IP- 
adressen achter een firewall wijzigeu. 

Bovendien is het configureren van 
pac kel fi 1 Lc rs v oor IPv 6 com plexor, 
omdat enkeJe functies die in v4 nog 
onderdeel waren van de linklaag 
(zoals ARP, het Address Rcsolmion 
Protocol) bij IPv6 in de vorm van 
extra ICMP-pakketten in de IP-laag 
worden uilgevoerd* Een packet filler 
moet voor deze taken dus geschikte 
filterregels hebben. 

Dat IPv6 voor sommige doelcin- 
den tunnel meebanismen gebruikt, die 
moeilijk of zelfs helemaal niet te fil- 
teren zijn, weegt zonodig nog zwaar- 
der. Aan de andere kant zijn het juist 
deze timnelmechanismen die het 
inogelijk maken om IPv6 over pure 
IPv4-trojecten te gebruiken, data mid- 
dels iPSec in de IP-laag tot aan het 
eindpunl le versleulcicn en met 
Mobile fPv6 een vast IPv6-adres 
gewoon kunt blijveii gebruikeii als je 
van nelwerk wisscll. Dit betckenl dal 
dergeIijke tunnels te belangrijk zijn 
om volledig dicht te zetteii, zoals bij 
IPv4 met hcl conccptioncel erg ver- 
wante source routing gebruikelijk is* 

Met configureren van een packet- 
lilter vereist daardoor diepgaunde 
kennis van IPv6. Als je je eraan wilt 
wagen moet je je verdiepen in de pro¬ 
tocol specificalics. Behai ve dc ofllcie- 
le RFC's [1] zijn er over dit onder- 
werp inmiddels een aantal boeken 
verschenen |2I. 

Zonder NAT en kraebtige, goed 
geconfigureerde packetfilters is het 
ononlkoombaar om iederc pc afzon- 
derlijk tegen aanva lien van buitenaf 
te beschermen. Hieitoe moet je eerst 
met netsiai controlercn we Ike poorten 
open staan. Alle kritieke diensten 
moet Je uitschakelen of zodanig op de 
server conOgureren dat deze alleen 
door betrouwbare clients gebruikt 
mogen worden. 

In grolere omgevingen is het daar- 
naast denkbaar om met application 
gateways en beperkte statische rou¬ 
ting bet direct benaderen van lPv6- 
—nodes af te schermen* 

Wegen naar 'internet6' 

Als het systcem voldoende bevei- 
ligd is, kun je verbinding maken met 


'intemetb'* Mocht je provider IPv6 niet 
ondersteunen, dan kun je altijd nog 
IPv6 over IPv4 Lunnclcn* 

Het Canadese bedrijf Hexago 
(www.liexago.com) leveit onder de 
naam iTccnclb kt)steloos beretkbare 
tunneleindpunten , die je vrij eenvoudig 
en snel in gebruik kunt nemen* Omdat 
Hexago lot dusverre cnkel tunneleind- 
punten in Canada heeft, gooit de laten¬ 
cy bij Voice over IP en online games 
wel wai roci in het eten* Met dc huidi- 
ge software voor Linux en FreeBSD is 
het daarentegen weer vrij eenvoudig 
om door NAT-routers le lunnclen, erg 
handig als je je eerste stappen op 'in- 
tenietb' wilt zetten* In het kader 'Met 
Preenotb op iniernelb' staan dc details* 

Als je een continue verbinding met 
internet hebt, die door de provider 
slechts sptsradisch wordt verbrokon, 
kon je de ietwat tijdrovende prtx:edure 
volgen om bij broker SixXs 
(www*sixxs.nel) een tunnel met Euro- 
pese eindpunten in te richten, Ook dit 
is een gratis oplossing, waarbij de 
eigen adresscii pas worden geroutcerd 
als de tunnel gedurende een week open 
staat. Daarnaast verwacht de aanbieder 
dal Je dc lunnci vervolgens continu 
open boudt. Hiermee is SixXs met het 
oog op latency te prefereren boven 
Hexago, hoe wel gebruikers van tijdgc- 
bonden toegangstarieven en van com¬ 
puters in de slaapkamer alsmede de 
veel geei teerde 'road warriors' prak- 
tisch uitgesloten zijn van deze oplos- 

Sillg. 

De gelukkige bezllters van een sLa- 
tisch IPv4-adres kunnen via een 6to4- 
tuniiel van een enkel globaai gerou- 
teerd iPv4-adres een globaai gerouteer¬ 
de /48’-prefix sanienstellen. Dil is met 
mini male inspajiningen te realiseren, 
maar door de asymmelrische routing 
die hiermee gepaard gaat zijn proble- 
men moeilijk te lokalisereii* Relay-rou¬ 
ters lunnelcn pakkctlen naar 6to4- 
adressen die niet rechtstreeks te bena¬ 
deren zijn naar het inbegrepen IPv4” 
adres. Pakkctlen van een 6U)4-adres 
naar een 'norniaal' adres gaan over een 
gateway naar een openbare publiC” 
relay-roulcr met een echle IPv6-ver¬ 
binding. 

In geval van problemen is het zon¬ 
der directe toegang tot de totale net- 
werkinfrastruetuur onmogelijk vast te 
stellen of de oorzaak ligt bij de relay- 
router aan de andere kant of bij de pu- 
bMc-relay-router, die de eigen gateway 
gebruikt, Hoewel er te weinig public- 
relay-routers voor een productieve ver¬ 
binding met internetb' zijn, is dit tcK:h 
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ecn inieressante tunnelvarianu Internet 
service providers die inieresse hebben 
in lFv6 kunnen hun IPv4-infrastnic~ 
Inur uitrusten mel lPv6-mogelijkheid 
zonder een grote hoeveelheid geconfi- 
gureerde tunnels te htKvcn bchcren. 
Vdor klanten van minder vooniitstre- 
vende ISP's biedl dit de mogelijkheid 
om in eigen behcer verbinding te 
maken met IPv6. 

Het nicest ideale is een ISP die zelf 
IPv6 aanbicdl, hcigeen in tuenemende 
male schijnt tc gebeuren. Toegang via 
modem, ISDN of de verschillende 
ADSL-vormcn is <xik prima mogelijk, 
want alle gangbare varianten van PPP 
zijn geschikt voor IPv6. Een ongetun- 
nelde lPv6-verbinding is eenvuudiger 
tc ennriguncren cn maakt betergebruik 
van de kanaalcapaciteit, Tevens is de 
latency korter dan bij mcnige tunnel- 
opiossing. Vraag dil anders na bij je 
eigen provider, WcUicht helpt het om 
de invoering van TPv6 bij jc provider 
Ic bespoedigen. 

Op welke wijze je ook verbinding 
maakt, een bezoekje aan de 'dancing 
kamc' (www.kamcmet) is voor test- 
dwleinden de aangewezen plaats. Op 
deze site staat het logo van het Kamc- 
project, dal geanimeerd wordt weerge- 
geven als je gebruik maakt van rPv6. 

De volgende stappen 

Mel het opbouwen van cen verbin¬ 
ding met 'intemet6^ is het opzetten van 
de IPv6-infrastructuur feilelijk afgc- 
rond, Als jc net als de meeste internet- 
Lers gewend bent beperkt te zijn door 
NAT en dynamisch toegewezen TP- 
adressen, zul je nu in alle rust kunnen 
onLdekken wal globaai gerouteerde 
TPv6-adressen te bieden hebben. Als Jc 
zowel mobici als thuis of op kantoor 
met IPv6 werkt, kun je onderweg ver¬ 
binding maken met je vaste systemcn, 

Als IPv6 wat meer gemecngcied 
wordt, zijn services mogelijk die met 
TPv4 ondenkbaai waren, De eigen 
Webserver hoeft niet meer in ecn 
rekenccntnim tc staan, maar kun je 
gewoon thuis in de kelder zetten. Inter- 
nettelefonie cn andere peer-to-pcerpro- 
tocollcn wtirden eenvuudiger en effi- 
cienter. De communicatie hoeft niet 
meer via centrale brokersysiemen tc 
verlopen, maar kan direct op de eind- 
apparatuur plaatsvinden. Ook de hoe¬ 
veelheid e-mail opslagruimlc kent 
thuis niet de beperkingen die menigeen 
lhans ondervindt bij zijn provider. 

Bovendien lieeft IPv6 enkele inle- 


ressante features die eclitcr niet binncn 
deze tutorial passen. Deze features zijn 
deels ook nog in ontwikkeling of nog 
niet volledig geVmplemcntcerd, Zo is 
IPScc cen vast onderdeel van alle 
IPv6-imp[ementaties voor versleute- 
ling op IP-niveau, die je op dit moment 
nog niet meet gebruiken. Mocht je het 
echter willen gebruiken, dan staat het 
tot je beschikking. Windows XP dat 
'onderstcuning vcKvr IPSec* biedt, kent 
als enige versleutelingsoptie bull', dus 
'geen'. Net zo interessanl Ls het Resour¬ 
ce Reservation Protocol (RSVP), Dit 
zorgt ervoor dat er per verbinding een 
vaste doorvoer is, zodat in drukkc 
tijden real-time protocollen als IP- 
telefonie beter functioneren dan bij 
IPv4 het geval is. Tenslolte wordl het 
mel Mobile IPv6 mogelijk om met een 
vast IPv6-adres overal 'rntemet6' op te 
kunnen en tevens atlijd bereikbaar tc 
zijn. Open TCP-vcrbindingen blijven 
namelijk bestaan; zelfs wanneer een 
host tussen verschillende nelwcrkcn 
wissell, 

Diegenen die IPv6-software wilen 
gaan ontwikkelen of bestaandc soft¬ 
ware geschikt willen maken voor IPv6 
kunnen beschikken over een solide 
testomgeving. Daarbij koint literatuur 
als 'Unix Network Programming’ van 
Stevens, Fenner en Rudoff [3] alsmede 
RFC's 3493 en 3542 goed van pas ] I), 

Produciicomgevingen kunnen staps- 
gewijs geschikt gemaakt worden voor 
dual stack. Zonder tijdsdruk kunnen de 
werkzaamheden met cen minimum aan 
gevaar voor de productie worden uit- 
gevoerd. Veel hoeft het niet te kosten 
en het stelt je in staat om fduten in het 
onlwerp tc onldckken en ongestoord 
op te lossen. 

Met kan in elk geval loncnd zijn om 
dc onlwikkelingcn rond IPv6 te blijven 
volgen. De ondersteuning van IPv6 in 
software of door providers wordt gelei- 
dclijk bcicr, maar van de uillatingen 
van sommige zelfbenoemde lPv6- 
expens rijzen je de haren te berge, wat 
altijd amusant is om te lezen, 

Conclusie 

IPv6 is een spannende nieuwe tech¬ 
no logic, Het protocol kent nog een 
paar haken en ogen, maar het is stabiel 
en biedt vele mogeUjkhedcn waarvan 
dc waarde nu nog niet te <>verzien is, 
Bovendien is het invoeren van IPv6 in 
een productieomgeving mogelijk zon¬ 
der dat cr sprakc hoc ft tc zi jn van een 
'big bang' of grote investeringen, wat 


Sendmail met IPv6 

Bij Fedora is het meegeleverde 
Sendmail weliswaar geschikt voor 
IPv6, maar voor het accepteren van 
e-mails middels TPv6 op de SMTF- 
poorl moeteii er wal aan pass ingen 
in de configuratie worden aange- 
bracht, 

Allereerst installeer je de pakketten 
sendmail-cf en m4. De volgende 
regel in letchnaUisendmaiijnc dien 
jc uit tc commentarieren door er 
'dnl' (’Delete to Newline' in m4) 
voor te zetten: 

DAEMON_OPTIONS| ‘ Por*-smtp,Addr-12 
7.0.0.],Name=MTA'idnl 

en door in de regel: 

dnl DAEMON_OPTIONS (" Port=snntp, 

Addr=:: 1 ,Name=WTA'v6j FqrTrily-inet6')dnl 

dc cerstc 'dnl' te verwijderen, acti- 
veer je deze, Na een herstart accep- 
teert Sendmail c-rnails zowel via 
IPv4 uls IPv6, 


vaak wel wordt beweerd, Als je nu al 
gebruik wil maken van IPv6, hoef je 
IPv4 nog niet het huis uit te zetten, 
Ook als Je nog twijfelt over een niigra- 
tie, kun je het beste al wel vast reke- 
ning houden met IPv6 bij de aanschaf 
van nieuwe producten of het wijzigin- 
gen van de infrastniciuur. Hicrmec 
voorkom jc dat jc straks duurbetaalde, 
pure IPv4-componenten jooet gaan 
inniileii, 

BENEDIKT STOCKEBRAND 

is intormoNcus, freelonce Irainer en corv 
sulenl op hel gebied van Unix en 
TCP/tP. 
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Met Freenetd 

Door op de homepage van Hexago 
(www.hexago.com) de button 'Get 
IPv6 in 3 steps' aan te klikken, richt je 
cen tunnel in. Allereerst maak je een 
gratis Free net-account aan. Vcrplichte 
gegevens zijn daarbij je echte naam, 
dc gewenste userid en het e-mailadres 
waar de logingegevens naartoe wor- 
den gesUiiird. De overige velden zijn 
iacultatier. 

Nadat het account is aangemaakt kun 
je dc sources downloaden. Het sour- 
cepakket is identick voor alle Unix- 
varianten. Het bevat geen configure- 
scripl, waardoor het uiteindelijke 
besturingssysteem expliciel moet 
worden opgegeven. Als je het com¬ 
mando make zonder verdere parame¬ 
ters ingeefl, krijg je ecn lijst met 
ondersteirnde 'target='-parameters. 
Hocwcl in de laatste versie 'openbsd' 
ombreekt is deze loch als dtx^l in tc 
stellcii. Onder FreeBSD bouw je de 
iiinnel soil ware als volgi: 

# mob torget=freebd 

# make fargeHreebsd\ 

insfafIdiR/usr/local \ 
instoll 

en inslalleer je deze onder insrlloca!, 

Intusseii heb je het mailtje met inlog- 
gegevens voor iasrihcallbin/tspc. 
conf van Hexago ontvangen. Als je 
een compleet netwerk via een router 
wil koppeien, moet je bovendien de 
regels: 

server^ bro ke rir e e net 6 . n e I 
hostjype“foulef 
prefmlen=4& 
if_preFix=ethO 

activeren of aanpassen. De laatste 
regel legt de interface vast, die Router 
Advertisements met het toebedeelde 
/4B-prcfix cn subnet-id 0:0 moeUver^ 
sturen. 

Onder Linux moet je nog enkele 
zaken aanpassen. De kernel-optic 
'Network Device Support - Universal 
TUN/TAP device driver support' 


14) Bencdikl Stockebrand, IPv6-lutorial 
deel I en 2, tX 2/2006, p56-69. 

L5) www.ipv6neady.org/logo_db/ appro- 
vcd_lisi.php ^ 


op internet6 

moet minimaal via een module onder- 
steiind worden en er moet een device 
idevlnetinm aanwezig zijn. In nood- 
gevallen maak je dit aan met: 


# mkdir -p /d 

# inknod /dev/ne0Ejn c 10 200 

Daamaast vcrwacht het script 
lusrihciiUtempkitellimLXJih dal er ecn 
gebruiker 'radvd' bestaat. Onder 
Dcbiaii maak je deze als volgt aan: 

# adduser -lyslem radvd 

Onder Dcbian Wi)ody probeert radvd 
het PID-bestand niet weg te schrijvcn 
naar IvarlnmhadvdL maar naar 
Ivarfnmf, Hier bee ft 'radvd' echter 
helemaal geen sellrijfreehten. Om dit 
te wijzigen moet in /iLsrltocaU 
tempiatei Unuxsh het aanroepen van 
radvd iiilgebreid worden met de optie 
^-p /var/run/radvd/ radvd .pid' en moet 
de directory voor het PID-bestand 
aangemaakt worden met: 

# mkdtr /var/run/radvd 

# cbown radvd /vor/run/radvd 

Vervolgens bouw je een tunnel op 
met het commando: 

# /usr/iqcal/bEn/lspc 

HicrbiJ krijg Jc een /48-prefix, waar- 
van het eerste subnet (ID 0:0) auto- 
matisch via router advertisement in 
het redusireeks verbonden netwerk 
geconllgureerd wordl. 

Linux en FreeBSD kunnen IPv6 niet 
alteen over IPv4 tunnelen, maar ook 
over UDP/IPv4. Dit kon automatisch 
via ispi\ zodai je dwars door NAT- 
gateways kunt tunnelen. Door dc 
extra UDP-headers is deze aanzet 
wellichl niet zo efficient als het tun¬ 
nelen van IPv6 in IPv4, maar je hebt 
3itervoor geen toegang nodig tot de 
NAT-gateway. NetBSD, OpenBSD 
en Solaris bieden deze mogclijkheid 
helaas niet, zodat je voor bet instel- 
len van het einde van de tunnel bent 
aangewezen op dc NA F-gaieway 
zelL 


IPv6-workshop bij 
SANE 2006 

In tnei vindt de vtjfde System 
Administration and Network Enginee¬ 
ring Conference (SANE) weer plaats 
in Delft. Hter zal lPv6~specialist 
lijit.sch van Beijnum acte dc presence 
geven. Hij is de auteur van 
het bock Rimning IPv6 (zie ook run- 
ningipv6,nel). Hij laat onder andere 
zien hoe je een IPv6 router bouwt, ho^ 
je 6k>4 tunnels opzei, hoe je OSPF en 
BOP als nmtingpnHocoIlcn kunt 
gebniiken, wat de verschillen zijn in 
bcvciliging en hoe je eigen applicaties 
en daemons IPv6 kunt lalcn gebruiken. 

De website security.nl deed half 
maart een interview met Van Beijnum. 
Hierin schal hij dat alle IPv4-adres5en 
rond 2012 in gebmik zullen zijn. In 
"drie tot vijf jaar" moeteii we vol gens 
hem klaar zijn voor dc overslap. 

Van Beijnum adviseert verder om 
niet je MAC-ad res te gebruiken om 
een IPv6-adrcs tc gcncrcren. "Als ik 
met mijn laptop een website bezoek 
over iPv6, daji zijn de eerste 64 bits 
van het ad res alTjankcHJk van dc pick 
waar ik op dat moment hen, maar de 
laatste M hits zijn altijd hetzelfde, 
want die komen uil liet MAC-adres. 
Zo is mijn machine dus herkenbaar 
ongeaclit waar ik aan fiet IPv6-intemet 
hang. Oplossing: gebrutk in plaats van 
je MAC-adres een random nummer 
oni jc ad res te genereren. Windows XP 
genereert iedcrc 24 uur cen nicuw ran¬ 
dom ad res dat gebruikt wordt voor uii- 
gaande sessies, maar heeft daamaast 
nog we I ecn MAC-adresgebaseerd 
ad res voor inkomendc sessics. Onder 
BSD/MacOS kan je dit type adressen 
activeren met 

syscti 'W nel.inel6.ip6.use_fampoddr=l 

en onder Linux met 

sysctl 'W nel.ipv6.conl.alLuse_iampDddr=2 

Over hci vcrlics van NAT, dat 
eigenlijk niet meer nodig is dankzij 
lFv6, is hij niet erg rouwig, "Bij rPv6 
mfiet jc ofwel clke machine firewailen 
(wat mijn voorkeur heeft) ofwel een 
stateful firewall neerzetten en dus 'met 
de hand' hepaleu wat wel en niet naar 
binnen mag, Tegenover bet nadcel van 
lets meer werk staat het voordeei dat je 
zo vecl bctcre contmic hebt over wat 
er wel en niet naar hinnen koml, en dat 
je niet afhankelijk bent van wat de 
NA4' toevallig wel of niei tegenhoudt." 








Bestel nu je .eu domeinnaam ! 


Als je van plan bent om een of meer .eu 
domeinnamen aan te vragen dan kun Je 
dat nu doen. Want wie het eerst komt, 
het eerst maalt! 

Voor iedereen in Europa is het nu mogelijk 
om een .eu domeinnaam registreren. 

Een .eu domeinnaam heb je al v.a. € 15,- 
perjaar (excl. btw). Registreer daarom nu 
op www.hostway.nl Heb je nog vragen ? 
Email naar info@hostway.nl of bel ons. 


BEL GRATIS: 

0800-17700 

DOMEINNAAM 

1 JAAR 
perjaar 

2 JAAR 
perjaar 

5 JAAR 
perjaar 

10 JAAR 
perjaar 

.NL 

€15.00 

€12.50 

€1100 

€9J0 

.BE 

€15.00 

€12.50 

€1100 

€9.90 

.DE 

€15.00 

€ 12.50 

€11.00 

€9.90 

.COM 

€ 15.00 

€ 12.50 

€11.00 

€9.90 

NET 

€ 15.00 

€12.50 

€11.00 

€0.00 

.ORG 

€15.00 

€ 12.50 

€ 1100 

€9.90 

m 

€15.00 

€ 12.50 

€1100 

€9.90 

.INFO 

€15.00 

€12,50 

€1100 

€9.00 

.EU 

€25.00 

€22.50 

€20.00 

€15.00 

* Voor meer mformatie; www.hostway.n I/p rices 
Bovenstaande prijzen zijn excl. BTW 



Ook voor andere domeinnaam-extensies 
zoals .nl .be .com .de .info .biz .net .org 
kun je bij ons voordelig terecht. 

Lees je deze advertentie in Belgie, 
ga dan naar www.hostway.be 
Email naar info@hostway.be 


Hostway is erkend 

•6U registrar 


Bestel nu je 
■eu domeinnaam 



soi I service over internet™ 

t 


Hoe eerder, 
hoe meer kans! 


Check je domeinnaam op www.hostway.nl 


www.hostway.nl jvww.hostway.be 

Domeinnaamregistratie en webhosting al sinds 

Hostw.ay BV • H, Walaardt Saerestraat 10 • 1117 BN Schiphol • T: 0800-17700 J 
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Connectivity 



^BdTfmuf Goebel | 

vaak met zijn notebook onderweg is^wisself noodgedwong& Qjiog^ l^eens van neN^ 
■yverk. En omdat niet olle bedrijven DHGPpebruilfeii, kon hef getffiiiren d.<|t je je IP-qdres^ 
' sen confine moet oonpossen om op je ei^n aetwerk te komen. Met IPv6, OpenVPN env 
enkele scripts wordt bet le'ven von de mobiele gebrpltcer-een stuk eenvoucfigef. 


S lel, je gaat eert dag naar een 
klanl, en je will loch op je eigen 
bedrijfsnetwerk. Wanneer er in 
hct iietwerk van je klant geen DHCP 
aanwezig is, of als er om andere 
redenen vaste [P-atlressen nodig zijn, 
gaal er dan een hele configuratie- 
maralhon van starL Behaive je eigen 
IP-adres moet je ook de DNS-, dc 
proxy- en de VPN~instellingen aan- 


passen. Die aanpassingcn moeten 
bovendien geldig zijn in hei nciwerk 
van de klant, E6n van de mogelijkc 
opiossingcn is om hei IPv6-netwerk 
^parallel' aan IPv4 te gebmikcn en het 
gchcel via OpenVPN [1] le tunnelen. 
Dat gaat eenvoudig, is snel gereali- 
seerd en kost weinig. 

Dit adressenprobleem kan met 
IPv6 relaiicf eenvoudig worden opge- 


lost, want dal bicdl een adressenreeks 
die met geen enkel klanlennetwerk 
overlapl. Hei notebook krijgt een 
IPv4-adres van bet nciwerk van de 
klant en een lPv6-adres van het eigen 
bcdrijfsnclwerk. De pc kan met het 
IPv6-adres ecliter nicl direct commu- 
niceren met het eigen kantoor-LAN, 
want daarlussen bevinden zich een 
IPv4-netwerk en doorgaans ook mini- 
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y sliiig 1 1 S«rvercoitfiguratf e 
in /efc/ 0 ti«iivf>ffi/ 

tts-strrer 

dtv ton f roated irntti 
tor’ipv^ I scuttle tun is fsrvird IPvA 
I tij loran^Hrg dow SIH af prsiy 
tcp-ufvef 
;pgrt 

ifp huh^mptfuutt.ap 
I dfsp prtvilsses 
u&sr spnnvpn 
grsiip gpenvp 

I tunncHns restart sndanks dr^p-privlleps sopUfl! 
i^Uti 

prjht'te)^ 

J tun/tap deiui sp«n Liteo 
ptrsht-tufi 

i SSI/us tt\ ItIffle-lteLtiKi psrtiettrs 

u /«t:/opmp/cicert,pei 

ten htt /t^penvpn/dpenVFlJerver^cerI,pei 

kif /(te/peiifps/0^iiilfPll_Servee- fc tf. pe* 

dfa /eli/8pn»piv/dl102*.pei 

eipber US-IZi-SSC 


Lilting 3 1 Servnr-u|»^icript 

rjhMnk 

I server. v(Mr dperVPl 
f linfepasi (ifyer diriiat Soebel 
I II*s/noiiers van de afz^indertijU elienti in ue or¬ 
ders teuDen 

m lcistetlienTs;"98 99** 

tlIEaFUE=M 

mjiMi 

I overige argoienteii oorden genesepd 

ip tihk set KmrcUACE) tip 

fp tfnk set ttu UTUNJIU} dev UlirElfA[E} 

for CliettUd in iVFlInotaEliEiits ; h 

(trlPlifdr=Z0l)t:0di>8:f«difHf::liChHitid}l/1Z4 

iiikLscjUddr^relO:f1H::l(CUentld}1/fZ4 

I LinlHocal idres bstellen 

ip iddr add ULMlocsLIddr) dev l{tir»fl|£) 

I poiiti-t«-pdnt a dm Instelien 
Ip adtir add KtlrtPAdifr} dev SdirEIFKEI 
dt^ne 


J?-TRACT 

• Wie vaok onderweg is en 
aansluiimg op een eigen 
(bedrijfs)nefwerk nodig heeh, 
hoelt niet per se steeds hand* 
matig zljn iPv4-gegevens te 
wijzigen. In ploots doarvon 
kun je efvoor kiezen om het 
netwerkverkeer noor het eigen 
bedrijfsnetwerk te tunnelen via 
IPv6 . 

• Om dit te bereiken kun je een 
Virtual Private Network opzet- 
ten mei OpenVPN. 

• Vaste lPv6’adressen zijn volop 
beschikboor, het on three kt ech* 
ter nog oon routing. 


maal een firewall - typisch een geval 
voor he* toepas.sen van een VPN. 

AllereerAit is het zaak om een geldig 
IPv6-acldressenbcrcik tc vinden. Per 
dcfinitie bestaat er geen private TPv6- 
addressenbereik zoals dat voor lFv4 is 
bepaald in RFC 1918. BIk netwerk dat 
een lPv6-up!ink heeft, krijgt een eeti- 
malige IPv6-prefix uitgereikt. 

Intussen heefl dc IBTF-wcrkgroep 
(Internet Bngincering Task Force) die 
belast is met de ontwikkeling van 
nieuwe imerneUeclinologic erkend dat 
er gevallcn zijn waarin private IPv6- 
ranges toch zinvol kunnen zijii, 
bijvoorbeeld wanneer cr helcmaal 
geen IPv6-uplink beschikbaar is. 
Voor die situatie zijn er 'Locally 
Assigned Unique Local Addresses' 
(ULA’s, [21), waarvan de nnderdelen 
willekeurig gegenereerd wordeii. De 
kans dat er overlap onlsiaat met een 
ander netwerk is daarbij in een orde 
van groottc van 10en daarmee ver- 
waarloosbaar klein* Dus ook diegenen 
die nog geen olTiciiMe lPv6-prefix 
toegewe/en hebben gekregen, moeten 
zelf zo“n ULA genereren. PI 

In dit arlikel gebruiken we een 
prefix ulL dc 2001 :db8::/32"range, die 
voor documentatiedoeleinden is gcre- 
serveerd, Voor de cerste tests is dit 
voldocndc. Als je echter langere tijd 
met IPv6 gaal werken, kun je beicr 
een ULA genercren of meteen een 
IPv6-Ljplink aanschaffen. De adressen 
komcn overecn met een schema dal 
werd oiitwikkeld voor het lPv6-pro-' 
ject 'Join/ van dc universiteit van 
Munster [4], Dit schema maakt een 
onderscheid tussen clients waarachter 


een eigen {sub-)neiwerk zit 
(subnetclients) en ar/.onderlij- 
ke hosts (zic kader). 

0ns eigen kantoornetwerk 
zit in het 2001 ;db8: feed: 
0!0a::/64-bcrcik. De LAN^ 
interface van her notebook 
(bijvoorbeeld efhO) ki ijgt hicr- 
11 it een vast IPv6-adrcs. Zo 
kan het notebook met de ande- 
rc computers in het LAN 
conirnuniceren, zodra deze 
daarop is aangesloten. De 
tutorial over iPv6 in iX 2 |5t 
en in deze uiigavc op pagina 
76 bcschrijft dc implementalie 
van IPv6 in het eigen netwerk. 

Deze gebruiken we als uii- 
gangspunt voor het hiernavol- 
gende. 

Tunnelen met 
OpenVPN 

Om het nieuwe IPv6-net¬ 
werk van biiitenaf te bereiken 
maken we gebruik van Open 
VPN. Dit is een platformonaf- 
h a n kc 1 ij k use rl and - programm a 
ondcr dc GPL dat SSL-ver- 
slcu-leldc verbindingeii kan 
opzetten. Je kunt er zelfs mec 
door proxy's tunnelen. Dc true 
is om het kantoornetwerk met een 
betere metric via het VPN te rouicrcn, 
zodra de tunnel tot stand is gebracht. 
Op deze wijze kun je het IP-adres op 
het LAN als vast IP-adres 
inslellen. 

Vervolgcns moet je OpenVPN op 


de server en de client installcren, cer- 
tificaten voor clients genereren en 
deze over de clients vcrdclcn {16,7]). 
Bchalvc de eonfiguratiehestanden zijn 
daarvoor twee scripts nodig die hierna 
beschreven worden . 

Listing I toont de relevante 


Adresseringsschema voor IPv6 


2001;db8;leed:;/48 
2001:db8;fee(l;0100:r/S6 
200):db8;feed: 00::/36 

200l;db8:feed: 00;;/64 

2001:db8:feed: 01;:/64bis 
2001;db8:feed: fe;:/64 

2001:db8;feed: ff::/64 

Voorbeeld subnetclienl 'qb': 

2001:db8:(eed;{Tqbil^^ 

2001 :db8:feed:1100]|iM^l /112 
2001:db8:feed:fl00 |:(lab:l 2/112 

Voorbeeld olzondetli[ke client' ’• 

2001:db8;feed:l1K;: 1/124 
200t:db8:leed;IUr:; 2/124 


docu-preffx 

LAN-prefrx 

VPN*prefix 

Routing bif subnelctiunts 

Subnetclients Lijgen een/64 hiervan (254 mogelijlc) 

Afzonderlijka clients kTfjgen een/124 hieruit 
(260 magelijk) 

Netwerk 'ochter' deze client 

P-t'P-interface server 
P-t-P-interface client 


P't P’interface server 
P-t-P-mferfoce client 
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Listing 4i ClE«nt^v|Hscrlpt 

fl/bin/biil 

I til«nt.up mr O^nVt^ 

I Aaiiffpatt door Hariiut C«bel 
J ll/A9iiFr m aliondtrlljU dienti 
CUentld-f? 
tiTEIfK!^] 

mm-%1 

I overigE ariuirqten nArdfn 

ip ink SAl SfllTEEfACE) up 

ip Llnl set ntu SETUII HTU} dev UlRtESFUE) 

ll(}ieKei=?D0t;0{lbE:fee?^01t)0;;/»( 

1lrl?Rddr=2(I01:MMeed;fi1t::l(ClientId}2n2t 

Li(ikLocaUdi{r-feSO;rift:tt{ClleAEl[i}2n?« 

f Mat'Uual adfcs initiller 

\p iddr add SiUnUoupiydf} iti EilNTERFRCE} 

I puifiKc-polnl idffs ijistflliw 

ip iddr add SiHylPAddr} dev idlTEIFACEJ 

f rAtJte im nenrerk op server 

ip route tdd H^MctlEt] dev KlITEIFICEt letrlc 'j 

I ID nAdis: IPvi deiaiatt-route 

lip rpute Add defiult dev liJlTEirj^CE) iilric 1 


OpcnVPN-parameters op de server, 
Belangrijk is tt4n-ipv6 voor IPv6 via 
het fw/t-device* AIs je meerdere 
clients hcbl, word! het gebruik van 
het ffip-device niel aanbcvolen, 
onidat via deze bridge alle clients allc 
pakkettcii verkrijgen, Alleen al van- 
wege de tt)encmemlc gegevensstroom 
is dat ongewenst, De overige parame¬ 
ters definieren het te gebruiken algo- 
ritme, de User- cn de Group-ID van 
de server en de certificaten. 

Op de client (listing 3) zijn over- 
eenkomstige parameters nodig, 
Belangrijk is de up-deiay. zodai hcl 
wp-scripl pas gestart word! en de 
route op bcl kanloornelwerk wordt 
ingesleld nadat de tunnel ini stand is 
gebracliL Op deze wijze is het moge- 
lijk om OpcnVPN bij iedcre sysleeni- 
start op te starten, Ook hoe Ft de 
gebruiker er geen reken ing mce ic 
houden of hij /,ich al dan niet op het 
kantoornetwerk hevindi. 

Met ttp-delay veranderen User- en 
Group-ID pas na het opzetten van de 
tunnel, Hierdoor draaii ook de SSL- 
aulhentificatie als root. Met gebruik 
van de optic rouieilelay zou echter 
nog siechter zijn, want hei script 
route-itp start pas na het wijzigen van 
de UlD/CilD, icrwiji voor het wijzi- 
gen van de routing root-rechten ntnlig 
zijn* Met roitte-dekiy kun jc 
UID/GID dan ook niel wijzigen, 

De volgende stap is het gerecd 
maken van Open VPN voor IPv6, 
Helaas wordi IPv6 door de huidige 
versie 2,0,6-beta! slechts bepcrkl 
ondersteund. Je kiint IPv6 weliswaar 
over het /a/i-device (en over het 
frv/?-device) leidcn, maar de route- of 
Awi'cr-opties ondersteunen allcbci 
geen lPv6-adresscn, Ook de push- 
commando’s kunnen niel onder IPv6 
worden gebruikt, Btnnen afzicnbarc 
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tijd zal dal waarscbi jnlijk niel 
veranderen, want ofschoon op 
dc wcnsenlijsl voor Open VPN 
[8] een patch voor IPv6 staal, 
beperkl deze zich tot het trans¬ 
port over icp6 of udp6. 

We moeten dit probieem 
daarom omzeilen met up- 
scripts (Listing 2 en 4), maar 
dat gaat ten kostc van de flexi- 
biliteit en de centralc behccr- 
baarbeid, Een andere mogelij- 
kc oplossing vorml DHCP6 
(DHCP voor IPv6), maar dal 
is nog niel gereed. 

Dc w/?-scripls krijgen lel- 
kens de te configureren inter¬ 
face en de te gebruiken MTU (maxi¬ 
mum transmission unit; de 
maximumgrooite van een pakket) als 
parameters, Alle andere parameters 
zijn bier niel nodig en worden 
ciaarom genegeerd. Deze inibnnatie 
dient voor bet configureren van de 
interface {ip link xet .,,) en het instel- 
len van twee IP-adressen hicrop, het 
link-local ad res, dat elke IPv6-inter¬ 
face moct hebben en het point- 
to-point adres, dat dc client gebruikt 
om met het bcdrijfsnetwerk te com- 
muniecren. 

Op de server is, overeenkomstig 
het adresseringsschema, zo'n adres- 
senpaar gcconfigurecrd voor allc 
afzonderltjke clients die in VFN_ 
RemoieClients zijn gedefrnieerd. Op 
de client wordi een route naar het 
bedrijfsnetwerk via VPN ingesteld. 
De metric, hier 5, moet beter zijn dan 
die van de LAN-inlerface (gewoon- 
lijk 10). In een netwerk met DHCP is 
de configuraiie daarmee bijna afgc- 
rond; het notebook krijgt een IPv4- of 
IPv6-adrcs, Na hcl starlen van 
Open VPN is de weg naar het kan- 
loornetwcrk vrij, 

Zelfbewustzijn in 
het onbekende 
netwerk 

In een LAN zondcr 
DHCP kun je normaal ge- 
sproken weinig anders doen 
dan handmatig je netwerkin- 
stcllingen wijzigen, Enkelc 
Linux-dislributies mogen 
dan 'netwerkprofielcn’ aan- 
bieden die je bij het booten 
kunl selccteren, maar een 
automat is me is praklischer, 
De basis hiervoor wordt ge- 


vormd door het programma orping. 
Hiermee kun jc een computer op 
ARP-iiiveau piiigen, bijvoorbeeld om 
feilelijk geactiveerde of dubbel toe- 
gewezen IP-adressen in het netwerk 
te her ken lien. Zodra de gateway op 
dc ^trpmg-aanroep antwoordt, is dui- 
delijk op wclk netwerk het 
notebook is aangesloten. 

Pit onderzoek moet gebeuren 
voordat dc LAN*interface wordt 
ingesleld. Bij veel disiributies zijn de 
conUguraliebeslanden voor de inier- 
Ibce zelf slechts she 11-scripts. Daarom 
kun je de bijbehorende tests daar 
direct in inbouwen. Listing 5 loom 
een configuralicbesland dat dergelij- 
ke tests uitvoert voor de interface 
ethO (gelcsl met Mandrake; Red Hat 
en Su.se gedragon zich op vergelijk- 
bare wijze). 

Het begini met de gebruikelijkc 
instellingen voor dc interface en 
de bijbehorende DHCP-parameiers. 
Indieii de interface nog niet up is, 
wordt deze buvendien gcactiveerd, 
Anders wordt eerst gecheckt of hij al 
een IPv4-adres heeft,om reconilgura- 
tion te voorkomen. 

De functie_ FindNet wordt aan- 

geroepen voor elk te onder/.ocken 
netwerk met IPv4-adrcssen, netmasks 
en gateway, Wanneer de interface al 
een IP-adres heeft (BOOTPROTO 
= ''none'') en dit met het gewenste 
adres overccnkomt, dan wordt het als 
'staiisch' opgeslagen. 

In hel andere gcval test arping met 
de 'duplicate address detection mode' 
(optie '-D) of de gateway bereikbaar 
is, Dit gaat via ARP, zonder=dat-de 
interface een IP adres nodig heeft. De 
overige parameters bij dc aanri)ep 
bepalcn de timeout en het aantal 
pogingen. Mocht arping niel zijn 
geinstalleerd, dan kun je de tool vin- 
den in hel pakket, 
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Listing CllvnHnnflguraltn 

dev tun 1 mtii tunntl 

f fnjble Un te fDrvird Ihi 

nobind 

f ¥FI-gAtew)f in iit lAirijf 
rmU fAtc.euipU.CDi llh 

I vi»r tiinnrtlFfiij dnf l$}l d prvir 
;fciDte giU.fKilpU'GM 
;prfll8 ttp*cHnt 

;cAAnect-ietr]f IQ f SekEindefl Initr bO ttp-diAnt, dtfiiiit; S) 

i92.ui.iJ0 mm 

Jttp-preirrdry 

Bp /ett/epAAirpn/cUent.D^ 

-9 iip-fcrlpt m DpbDuv via dt 


up-ddiir i 

1 drop pritiUofA 
user 

gfAiip Apenvpri 

1 titnoelinp restart tyndinb drop-privilEsrs iDgelifk telen 

pirsiiHef * 

(fpbar HES-UHBl ; 











Mochten de IP-adrcssen van twee 
klanlcnnclwcrken elkaar overlappcn, 
dan kun je nog dieper in dc trukcn* 
doos duiken en aan dc hand van de 
ARF-gcgcvcn.s je keuze bepalen. Dil 
allcs doc Je uiteraard alleen als er nog 
geen BOOTFROiO is vastgelegd. 
Mochtcn dc tests geen van dc netwer- 
ken herkennen, dan client DHCP als 
default, 

De naam_ FiniiNet lijkt ovengens 

wat obscuur, maar dat is om overlap 
tc verniijden met scripts die reken tug 
houden met dit configuratiebestand, 

Indicn cen klant at gebruik maakt 
van TPv6, kun je jc enige moeite 
besparen. Dc aanvullende (vaste) 
IPv6-adrcssen kun je eenvoudig in dc 
variabele IPV6ADDR_ SECONDA¬ 
RIES zeiicn. Omdat ze wereldwjjd 
hetzelfde zijn, kan dat iiiet tot over¬ 
lap leiden. 

IPv6-tunnel in 
een HTTPS-tu nnel 

Voor de geplaagde nclhoppcr 
resteert nog een probicem: de fire¬ 
wall. Als hij pech heeft, kan hij geen 
verbinding maken met het internet en 
is alleen webtoegang via een proxy 
toegestaan. 

Open VPN heeft zich op dit gang- 
bare scenario voorbcrcid en kent de 
optie http-proxy. Daarmee wordt een 
HTTP CONNECT-requesl opgc- 
bouwd via de proxy op een remote- 
server. De optic ondersteunt zelfs 
authcnlicatie op de proxy. De overige 
henodigde opties zijn in de voor- 
beeldconfiguratic als commentaar 
opgcnomcn. 

Een goed geconftgurcerdc proxy 
beperkt CONNECT-opdrachten ech- 
ter lot pcKirt 443 (HTTPS), omdat 
normaal gesproken niemand via een 
HTTP(S)-proxy toe gang vraagt tot 
bijvoorbccld cen IMAPS-poorl. 
Daaroin helpt maar 66n ding; je 
OpenVPN-servcr vanaf het begin op 
poori 443 latcn luisteren. Je kunt 
tensloltc moeilijk op afstand de 
serverconfiguratie aanpassen als je 
voor het ecrsl gcconfronteerd wordl 
met zo’n restrictieve proxy. 

Een nadeel van deze inelhode kun 
je op de koop toe nemen: gewoonlijk 
werkl Open VPN met UDP, maar het 
kan ook TCP-verbindingen in UDP- 
pakketten inkapselcn. Voor tunneling 
door de proxy heb je echter een TCP- 
verbinding nodtg, OpenVPN moel 
dus TCP via TCP tunnelen. Daardoor 


ontstaan synehronisatie-effecten tus- 
sen dc binnenste en de buitenstc 
TCP-Iaag: retransmits van afzonder- 
lijkc segmcnlcn duren relatief long en 
verbindingen worden sncller dan 
gewoonlijk verbroken. De praktijk 
toont echter aan dat daar doorgaans 
wei mcc le Icven valt. 

Uitdagingen 
en perspectief 

Hel is lastig om de parameters 
voor http-proxy aan het nelwerk van 
dat moment aan le passen. Een kleln 
script kan dat oplossen aan de hand 
van automatische netwerkherkenning. 

Concrete problcmen doen zich nog 
voor met het resol ven van namen. De 
IP-numiners van de computers in het 
eigen netwerk moeten in de lokale 
DNS te vinden zijn en de adressen 
uil het netwerk van de klanl moeten 
door diens interne DNS verwerkt 
worden. Een comfortabele oplossing 
is cen eigen nameserver op het 
notebook, waarvan dc forwarder 
eveneens aan de hand van auto- 
malische netwerkherkenning 
wordt geconfigureerd. Als tijde- 
lijke oplossing kun je ook over- 
wegen de IP-nu miners van dc 
belangrijkste kantoorservers sta^ 
tisch in dc /etc/hosts op te 
ncmcn. Het handige pakket whe- 
reami (debiana.net/whcrcami/) 
van Andrew McMillan voor 
gebruikers van Debian biedt in 
dit opzicht ondersteuning. 

Het is mogelijk dat de proxy- 
configuratic aan de hand van 
automatische netwerkherkenning 
wordt aangepasl. Dc ProxyCom- 
mami van xsh kan in scriptvorm 
gcbruikmakcn van deze configu- 
ratie. Wat ook intercssant kan 
zijn, is op de OpenVPN-server 
een routing-daemon te itislalle- 
ren,die het totale bed rij Is netwerk 
via de VPN-tunncI beicendmaakt 
en die de configuratle van 
OpenVPN-clieiits vereenvoudigt. 
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PRAKTIIK 


E-mail 



Linux, Amavis en ClamAV 
tegen spam en virussen 

Krachtig span 


Ralf Spenneberg, Jakob Curdes 

E-mail is voor iedere onderneming een levensbelangrijk 
communicatiemiddel, maar is tegenwoordig zonder spam- en 
virusfilters nauwelijks meer te gebruiken. Waar commerciele 
aonbieders je proberen over te halen hun dure appliances 
aan te schaffen, kan de doorgewinterde administrator met 
goedkope pc-hardware, een beetje kennis en de nodige 
open-source software prima zelf uit de voeten. 


E lk bedrijf heeft wcl cen lokale 
rnailserver. De behecrcicr heeft er 
echler een Oinke kiuif aan, want 
hij wordt continu geconfronteerd met 
overlasi en productiviteitsveriics door 
spam* Daamaast is er voortdurend 
kans op virussen, en kan zijn bedrijf 
zelfs aansprakelijk gesteld worden als 
iemand via zijn server (meestal onbe- 
wust) een sehadelijk programma ver- 
spreidt. 

Gclukkig is hei inrichten van een 
nauwkeurig e’cnaiirdlcr vrij goed te 
doen* Diverse open-sourecpmgrann- 
ma's hcslaan hier al voor, waarvan 
Mimedefang cn Amavisd-new tot de 
populairste behoren* Om Mimedefang 
te gebruiken lieb je Sendmail en de 
bijbehorende f i 1 terbibI ioLheek Milter 
nodig, terwijl Amavisd-ncw ook met 
dc rnailserver communiceert over 
SMTP - een univcrscle koppeling en 


daai oni zeer geschikl om eens rtader te 
bekijken. Met Liest ondersieund worden 
Postilx cn SendmaiL Veel andere - 


^-TRACT 

• Spam en virussen vormen de 
grootste ergernis voor 
gebruikers en een van de 
gevaorlijkste bedreigingen 
voor e-mailsystemen, 

• Met open-sourcesoftware kun 
je robuuste onti-spom- en 
anti-virussystemen bouwen 
die^vrtj zijn van licentiekos- 
ten- 

• Bjj Sendmail-compoflbele 
systemen is de combinatie 
van Amavis met ClamAV 
hiervoor populair* 


ook commcreielc - oplossingen filte- 
ren alleen spam of virussen, maar 
Amavisd-new staat te veils het gebruik 
van Spam Assassin alsniede diverse 
virusscanners toe. M<>ehi een virus- 
scanner uitvallen, dan kan Amavisd- 
new teruggrijpen op een back-upscan- 
ner* Overigens kun je het koppel 
Amavisd-new en Postfix rechtstreeks 
ak lokalc rnailserver gebruiken, maar 
net zo goed als extra relay voor je 
cigenlijke rnailserver* 

Amavisd-new is de daemon-versie 
van het bekende programma AMaViS 
(’A Mail Virus Scanner’). Het werkt als 
een intei face tussen een rnailserver en 
een virus scanner, net zoals het pro¬ 
gramma SpamAssassin. Het haalt 
e-mail van dc server, Scheldt de attach¬ 
ments van het bcnchl en onderwerpt 
elk attachment aan een virusscan* 
Sc hone e-mails worden teruggegeven 
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aan de mailserver om bcxorgil te wor- 
den, wai or met dc rest gebeun bepaah 
de bchccrdcr. 

In het onderstaandc vourbecld laten 
we zieti hoc je Amavisd“new instal- 
leert in combinatie met de Open-sour¬ 
ce vim ^scanner Clam A V cn een mail- 
server (of liever 'Mail Transfer AgenV, 
MTA) /XYdh Postfix, Seiidmaij en 
Exim. We gaan nil van Amavisd-new 
2.33 en geven aan waarop je moet lett- 
ten bij dc installatie en upgrade. Later 
gaan we dieper in op configuratiede- 
tails zoals tuning van anti-virus en 
anti-spam. 

Installatie von 
amavfsd-new 

Heel amavisd~new is eigenlijk niets 
mcer dan een gigantisch Perl-script. 
De installatie bestaal daardoor vooral 
uit het inrichlcn van de directories en 
gebruikers. De meegeleverde handlei- 
ding geeft hier uitvocrig infomiatie 
over, Je moel jc sirikt houden aan de 
voorgesielde namen en rechten die 
daarin worden genoenid, omdat fouten 
in dit proces je systeem kiinnen open- 
slcllcn voor aanvallen. Hierna moel 
Amavisd-new nog worden gccontigu- 
reerd bij de MTA van toepassing. We 
laten jc er een paar zien, 

De klassieker: 

Sendmail 

Vanaf vScndmail versie 8J2.x is 
Amavisd-new eenvoiidig le installeren 
via de MiUer-inierfaec. Dc communi- 
catie vcrk>opt over twee lokale Unix- 
sockets. In een snel network kan Am¬ 
avisd-new ook op een under systeem 


draaien en de MTA via Milter en TCP- 
sockets benaderen. De ondersteuning 
van Milter door Sendmail kun je bij 
hei coinpilcren van sendmail^cf instel- 
len in het be stand deviooL\/Site/- 
xite.configjn4: 

APPENDDEF|*confENVDEVV-DMILTER') 

Vervolgens moet sendmail.me aan- 
gepast worden: 

lNPUT_MArL_FRTEI?Cmilter- 
pfTovis'/ S=locol:/var/amavis/atnavis- 
milfer.sock,F=TJ=S: 10m;R:1 
define(^confMILTER_MACROS_ENVFROM', 
conf- 

MILTER_MACROS_£NVFROM", lb}")dnl 

en moet sendmail,ef opnicuw gegene- 
reerd worden. Bij de installatie van 
amavisd-new dient de ^helper' voor de 
Milter-interface geactiveerd te worden: 

cd helper-progs 
./configure 
make 

moke install 

Het bestand README,mil(er uit de 
Amavisd-new-documenlalie be vat een 
voorbeeldscript voor het starten van 
A mavis met Milter-ondersteuning. 

De alternatieven: 

Postfix en Exim 

Net als Sendmail beschikt Postfix 
over een filter-interface. Hiertw draai¬ 
en er twee insianties van het smtpd-^ 
proces op het systeem. De eerste oni- 
vangl op TCP-poort 25 de binnenko- 
mende e-mails en geeft ze door aan 
Amavisd-new voor verdere verwer- 


Als het stuk goat 

Wanneer A mavis onverhoopt stopt 
met werken, is er een snellc moge- 
lijklieid om het e-mailverkeer zon- 
der filtering weer op gang te krij- 
gen. In het configuraliebe stand 
main.cf van Postfix moet je dan de 
volgende regel uilcommenten 

coniantjilter = smtp^amvji:[ 127.0.0.1]: 10024 

en Postfix herstarten. De e-mail 
gaat nu niet eerst naar Amavis, 
zodat je in alle rust op zoek kunt 
gaan naar de fout, De entry's in 
master^cf hoeven hiervoor niet aan- 
gepast te worden. 

Bij Sendinajl is het voldoende 
om de entry over Milter uit send- 
maiLmc te verwijderen en met de 
macroprocessor M4 een nieuwe 
sendmaiLcf aan ic maken. Na een 
hersiart van Sendmail is Amavts 
niet I anger meer actief. 


king. Deze filtert dc e-mail en geeft ze 
door aan het iweede smtpd-pioces op 
poort 1(K)25. De e-mails die daarop 
door Postfix worden onivangen, wor¬ 
den niet opnicuw getilterd. Postfix en 
Amavisd-new communiceren evencens 
over een lokale TCP-ptxni, nummer 
10024 (afb.l), 

Om cen dergelijke configuratie te 
realiseren, moet je eerst in hcl configu- 
ratiebesiand van Postfix (mains:/) het 
conienlfiltcr definieren, bijvoorbecld 
via het commando posiconf: 

posrconf -e 'conrenljilfef^ 
smlp-omavis:! 127.0,0.1 ]: 10024' 


i binrtenkomunde 
e tnolls over 
10024/tcp 



Daamaast mt>eten twee entry's in 
master.ef worden toegevoegdr 

smip amovis unix - n* 2 sinlp 
’0 s m lp_d □ la 0 fi e_ti m e o u 12 00 
-0 smrp_send_xforwafd_coinmond=yej 
*0 disoble_dn5_lookups-yes 
o fnax_os0-2O 

127.0.0.1 r 10025 iFiel n * n - - smipd 
0 contenljiller** 

■0 locaLfecipienLm<jp$=^ 

-0 relay_redpEenLinops= 
smlpd_reslrktion_clo3ses- 
‘0 smlpd_deloy_rejecf-na 

‘O 

smlpd_clleril_r«slridions=permir_myr;et- 
worki, reject 

-0 smlpd_h®l<>_restr(ctioru“ 
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Belangrijice componenten voor 
spam- en virusfiltering 


■a srti»pd_set^<ier_restriction£- 
-o smfpcl_recip[ent_re£lricHons=peFmit_my 
netwoTits, reject 
■0 myfietwofks_style=host 
-o mynatworks^l 27.0 h0.0/8 
-0 strict^rfc 0 21 _envelop 0 S=yes 
-o sffllpd_error_sleep_lime=0 
■o smrpd^sofLerrorJtmlt'^lOOl 
'0 smfpd„hord_ 0 rforJtmjt=lOOO 
0 smfpd_cl]enLconnecHon_coynt_fimil=0 
-0 imtpd^clienLconnection_rateJimit=0 
-0 

f e ce i ve_o ve rr id e _o ption s=no_lieo d e r_b o d y _c h 
ecki,no_ynknown_recipient_checks 

Dcze entry’s gelden wanneer Post¬ 
fix nicl in een c/imo^-omgeving 
draait en het conlcniriller anumsd- 
new op dezelfde machine draait ais 
Postfix. Hiermee zorg je ervoor dal 
de tweede instance van smtpd van 
Postfix alleen e-mails van localhost 
(dus van amavisd-new) ontvangt en 
ze niet onnodig nogmaals gaal testen. 

Dankzij de twee instances raken 
e-mails nict kwijt bij een foot van 
Amavis- De verhinding met de eerste 
instance blijft namelijk zo lang open 
totdat een e-mail succesvol bij de 
tweede instance is aangekomen of 
een ander definitief lot heeft getrof- 
fen (qyaranlaine, bijvoorbeeld). Wan- 
neer er tijdens dc verwerking iets font 
gaat, probeert de eerste Postfix- 
instance de mail opnieuw aan A mavis 
door te geven. Mcer in format ie geeft 
de goede docii mental ie van Amavisd- 
new over hel thetna Postfix. 

Exim-gebruikers integreren Ama¬ 
visd-new op dezelfde manier als bij 
Postfix. De MTA geeft alle ontvan- 
gen e-mails over SMTP door aan 
Amavisd-new. Deze scant de e-mails 
en geeft deze weer terug aan Exim. 
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Enkele programma's en Perl-modu¬ 
les verdieiien speciale aandacht. 
Ondanks dat ze optioneel zijn» wor- 
den ze toch als ononlbeerlijk be- 
schoiiwd voor goede vims- en 
spamher kenning. 

Van de volgende bulpprogramma’s 
is een recelite versie echt nutlig: 
MmE::Basef}4, MlME::Panei\ 
Netr.Server, N€t::SMTP, Archive: 
:Tar en Archive::Zip, Ook hei com¬ 
mando fUe is in veel distributies 
verouderd. 

Deze archiveringspiogramma's 
moet je op zijn minsi geinstallecrd 
hebben: nomarch, lha, arj, rar, pax. 
Alle overige die in de handleiding 
staan genoemd spelen bij de ver- 
spreiding van viatssen en spam nau- 
welijks cen rol of worden door Perl- 
modules als Archive::Zip onder- 
stcund. 

Met ripOLE kun je objcctcn scan- 

Dc Exim-admin dienl we! extra rou¬ 
ters in Exim in le richten, maar enige 
oplettendhcid bij de configuratie is 
geboden. De eerste Bxim-insiance 
conlroleert de e-rnail-adressen nicl op 
geldigheid. Daartoe dient de tweede 
instance. Wan neer dc/e nu een e-mail 
legenkomt die aan meerdcre personen 
is gericbl en waarvan een van de 
adressen onjuist is, krijgl niemand het 
maillje. De postmaster moet er dus op 


nen die via OLE zijn gekoppeld. 
ClamAV is een open-source virus- 
scanner met een relalief goede de- 
tectic. Als je veel e-mails moet 
scannen kun je beter zijn daemon 
ckimd gebruiken en de nonnale 
command line-versie ciamscan 
slecbts als back-up gebruiken (zie 
hierna). Uiteraard kun je cMik andere 
virusscatincrs gebruiken. Voor 
ClamAV is er overigens ook een 
Perl-interface, Mail::CiajnAV. Dit is 
de mcest stabiele en snelste manier 
om de virus scanner aan ic spreken. 

De module SpamAssamn is cen es- 
sentieel ondcrdeel van Aniavis. De 
herkenningsgraud van spam neemt 
zelfs nog fors toe als je de interface 
koppelt aan anti-spamnetwerken als 
DCC of Razor en je claamaasl extra 
blacklists met IP-adressen configu- 
reert. Onze Duitstaligc iX-zusteruit- 
gave publiceert zo’n blacklist: ziede 
sites nixspam.org en www.heise. 
de/ i x/n i X sp am/d n s b Lon . 


toezien dal Amavisd-new pas start 
waiineer de postbezorging daadwer- 
kelijk beg ini. De doeumentatie van 
Amavisd-new bevat over dit onder- 
werp het besland README.c.xim_v4_ 
app vtHircrvaren admins. 

Configuratie van 
Amavisd-nev/ 

De basisconfiguratie van Amavisd- 
new is vervoigens redelijk eenvoudig. 
Het onderscheid zil hem in de wijze 
van koppeling aan dc diverse inailser- 
vers. Postfix en Exim verwachten dc 
volgende regels in aniavisdxonf: 

$forword„meihod = 'm\p: 127.0,0.1; 10025'; 
$noMfy_method = ’smfp: 127.0.0.1:10025'; 

Sendmail maakt voor loegang 
gehruik van bet programma amavix- 
milter, Verdere instcllingen zijn bier- 
toe niet nodig. De mail server commu^ 
niccert over de Milter-socket met hcL 
programma amavi.x-rnUler dal op zijn 
beurl over zijn eigen socket met 
de Amavjsd-new-daemon communi- 
ceert. Om amavisd-new automatisch 
te laden tijdens de systeemstart, kun 
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jc hci script amavis_ini(sh gebruiken 
dat zich in het frir-bestaiid bevindt. 
Het kan zijn dal er nog wal aanpas- 
sitigen nodig zijn, at'hankelijk van je 
distributie, Gcdaemoniscerde virus- 
scanners rnoet je veiligheidshalvc 
starlen v66r amavLsd-new, de MTA 
volgt erna* 

Gebruik de taatste 
versie 

fn veel omgevingen wordt Am- 
avisd-new al laiiger gebruikL Ecn 
upgrade naar de nieuwste versie is aan 
tc raden, omdat er veel nieuwe functies 
in zitten. Hen van belangrijksle wijzi- 
gingcn is dc ondcrsteuning van de 
meest recente versie 3*Lx van Spam 
Assassin. Een andere wijztging is dal 
je regels kunt opstcllen v<K)r verboden 
bcstanden per gebruiker, wat in oudere 
versies van Amavisd-new alleen nog 
voor alle gebruikcrs tegelijk kon. Ver- 
dcr kunnen diverse gegevens zoals 
logs, meldingen en zelfs e-mails in 
quarantaine nu worden opgenomen in 
ecn SQL-database. Deze geeft iedere 
e-mail een pernianente ID zodat dc 
bijbeharende informatic eenvoudig te 
vindcn is. Op deze wijze kun je 
e-mails weer oil quarantaine halen. 
Ook de locgeslane gnxnic van e-mails 
kan per gebruiker worden ingesteld, de 
ondcrsteuning van LDAF is verbeterd 
en controle van JFHG-bcstandcn en 
OLH-obJcctcn is nu mogelijk. Tevens 
wordt direct een spec-file voor het 


genereren van RFM-pakketten toege- 
voegd. 

Stabiel gebouwd 

Omdat Amavisd-new een gewoon 
Ferl-programma is, is dc stabiliteit 
ervan en van het gehele mailsysteem 
atliaiikclijk van de Perl-otiigeving en 
de gebruikte modules. Met name bij 
upgrades moet je daarop letten. Wan- 
ncer de geactualiseerde Amavis nieu¬ 
we modules nodig hceri (zoals Spam 
Assassin 3.x), moet de admin de 
afhankelijkheden testen en oplossen, 
anders kunnen er onvcrwachtc dingen 
gebeuren. 

Ook belangrijk is een redelijk 
recente versie van Fer!. Dc maker van 
Amavisd-new adviseert minstens ver¬ 
sie 5.8.2, maar die verscheen al in 
2003. Een nieuwere versie zoals 5,8,7 
met dc sprintf-p^Xch is beter. De 
installatiehandieiding van Amavis 
noemt een hele recks Perl-modules, 
die nodig ofoplioneel zijn. De daarin 
genoemde minimale versies zijn 
absoluut vereisl. Dal geldl ot>k voor 
hulpprogramma's zoals 'extracters'. 

Je kunt het beste bij iedere upgrade 
van Amavis de lijsl modules doorlo’ 
pen en deze met epan updaten. Com¬ 
mando's ais 

ped MCPAN -e XPAN::She]l'>(n4loll 
|MIM£::Parsef)' 

zorgen ervoor dal de omgeving is 
ingcricht zoals de maker het bedoelt. 


Goedkoop is niet altijd 
duurkoop 

ClamAV is bijzonder goed 
geschikl om gebruikt te worden in 
combinatie met Amavis en vormt 
daardoor een typisch voorbccid voor 
intcgratic met Amavisd-new, De 
scanner heeft een hoge herkennings- 
graad, nieuwe signatures komcn 
doorgaans tijdig in de database en de 
systeembelasting Is laag. Bovendien 
is in het configuraticbesland van 
Amavis reeds vtwrzien in een entry 
voor de ^demonized' scanner als pri- 
mairc virusscanner en de command- 
linc-seanner als back-up (listing 1). 
Een bekend nadeel van ClamAV - hij 
is niet in staat om geinfecleerdc 
bestanden op tc schonen - werkt hier 
niet nadelig, want omdat het concept 
van Amavis met zulke functionalileil 
geen rekening houdt was dat toch al 
hraakliggend terrein. Een stabiele 
versie van ClamAV vind je in bron- 
code of als binair bestand op 
www.clamav.net. Er zijn verschillen- 
de binaire pakketlen, maar voor het 
volgcndc gaan we even van de bron- 
code uit, Na download en uitpakken 
van de tar.gz maak je met /configure- 
-disabie-clamav ecn Makefile. De 
extra optie is handig omdat clamtiv 
onder dezelfde gebruiker ais 
amavisd-new mtjcl draaicn. Dez^e ver- 
gissing is ecn vaak terugkerend onder- 
werp op de mailinglist. Een andere 
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ONLINE BRONNEN 

Amavlsd-new 

wwwjji.si/ioflware/amavhd/ 

NL-tnirrcr Am avis 
mirfof.dignus^fil/amavisd'rtew/ 

Arc, Zoo^ Unrar 

ftpi//m©tQlob.unc,edu/pub/Linux/utils/- 

comprass/ 

SpatnAssossin 

tiMp;//5pomossosstn, opoche.org 
ClomAV 

www.clomav.aef 
Testvirus van Eicar 

www.iiccif.cjfg/anH_vifu s_tesi_Filfi.htm 


handige parameter kan --sysconfdir= 
fete zijn, omdal anders niet alleen alle 
programmabestanden, rnaar ook het 
configuratiebestand terecht komt in 

iusritocaL 

Het kan zijn dat configure klaagt 
over een onibrekende of verooderde 
ziih. In dat geval moet je ziib en zUb- 
devel actual iseren. De ondersteuning 
van archiveringsformaten (bijvoor- 
beeld bzip2) speell hicr geen roJ, 
omdat Amavisd-new in de standaard- 
configuraiie de archives uitgepakt en 
wel aan de virusscanner doorgeefl. 
De andere noodzakelijke Instellingen 
kun jc na liet uitvoeren van makei 
make install in dc con HguraUebestan- 
den clamd.conf en freshclam.€onf 
kwijl, maar doe dat wel vddr de eer- 
ste start. 

Reconstructie- 

werkzaamheden 

Om tc kunnen functioneren in 
combinatie met Amavisd-new mod 
Je de volgende entry’s in clamdxonf 
aanpassen. LocalSocket /variama vlsi 
clamdMck moet overeenstemmen 
met de optie in amavisdxonf. Op 
dczcirUe manicT moet User amavis 
overeenkomen met de u.ser-JD waar- 
onder amavisd-new draait. De overi- 
gc optics, in hcl bijzonder van archie 
ves en mails, behouden de standaard- 
instellingen. 

Om nieuwe virusdefinities op te 
halen van internet, gebmik fresh- 
clam, In freshclam.conf moet Je het 
volgende aangeven: DaiabaseOwner 
amavis (zie hiervoor). Database 
Mirror db ,nl.clamav ,n€t (voor Neder¬ 
land, als jc dit vergeet draait fresh- 
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clam niet) alsmede de optie Notify- 
Clamd^ zodat de daemon een update 
krijgt. 

Vergeet ook niet in beide bestan- 
den de rcgcl 'example’ uil te commen- 
ten, anders loopt het programma niet 
eens. Gebmikers van oudere versies 
van Clam A V hebben in plants van 
clamd.conf het bestand ciamav .con}\ 
maar zoals eerder gemeld is het beter 
om de meest aciucle versie te gebrui- 
ken. 

Na de installatie moet bet clamd- 
proccs als het mogelijk is v66r de 
MTA amavisd-new draaien. Scripts 
waarmee je clamd kunt starten en 
stoppen vind je bij de meesie distri- 
buties in de submap contribfmit van 
de source code. 

Door middel van een test clamd- 
scan ihomeJxyz sluit je de installatie 
af. Wie nog verder wil testen, kan het 
Eicar-icslbestand (zie kader 'Online 
Bronnen’) in de te scunnen map plaat- 
sen. De scanner zou dit moeten her- 
kennen als een virus. 

Koppeling met 
Amavisd-new 

Om Amavisd-new met de virus- 
scanner te laten communiceren, moet 
de overeenkomstige entry in am- 
avisdx'onf ‘dciicf zijn (zie listing 1). 
Hiermee kun je ervoor zorgen dat 
clamd werkt als primaire Amavis-vi- 
russcanner en dat dc command I ine- 
versie clamscan als back-up diensl 
doet, bij voor bee Id voor het geval dat 
dc daemon niet draait. Te scannen 
objecten (attachments van e-mails) 
worden derhalve door clamd onder 
handen genomen. Deze gebaiikt 
beduidend minder resources dan 
clamscan. De overige entry’s in 
amavi.sd.conf gaan over de communi- 
calie aangaande de tc scannen bestan- 
den en de 'success'-meldingen met 
Amavis. Als je voldoende op de 
hoogte bent van de synlaxis van dc 
variabele av^scanners kun je deze 
entry's veranderen. Wanneer de virus- 
scanner na een upgrade niet mccr 
functioneert, moet je het configuratie¬ 
bestand van Amavis, dat bij de 
nieuwste versie hoort, controlcrcn. 

Het kan trouwens ook geen kwaad 
om daarin ook niet-bestaande vims- 
scanners te 'activeren'. Amavis gaai 
bij de start zelf op zoek naar de 

bestaande scanners (mits deze in 
het sysleempad of in dc siandaard* 
diectory van de virus-scanner zijn 


gem stalleerd) en gebruikt automa- 
tisch de scanners die daadwerkelijk 
gevonden worden. Configuraties met 
meerdere scanners zijn hierdoor mo¬ 
gelijk. Ook indien er slechts eentje 
alarm slaat, wordt de e-mail als gei'n- 
fecteerd behandcld. 

Om de communicatie tussen 
Amavisd-new en de MTA in de gaten 
te kunnen bouden is hcl raadzaam het 
log^level wat hoger te zetten: 

$logJtvel = 2; # Default i$ 0. 

# 0: startup/©xH/Failure messages, viruses de¬ 
lected 

# 1: args passed from cliei^l, some more infe- 
resling messages 

# 2: virus scanner output, Hming 

Na deze wijziging moet Amavis 
herstart worden, maar dan is de 
behandcling van ecu gcTnfecteerde 
e-mail ook uitvoerig te bekijken in 
hcl logbestand. Er wordt overigens 
geen auinmulische virusmclding naar 
de afzender of geadresseerde 
gestuurd. In veel geval leu maakt dat 
niet uit, want het adres van dc afzen- 
der is toch vrijwei altijd vervalst 
(maar bestaat in veel gevallen wel) en 
ook de afzender zil vermoedelijk niet 
te wachten op een volgelopen mail¬ 
box . 

Conclusie 

Amavisd-new is een voorbeeld van 
een goed onderhouden en regelmatig 
doorontwikkeldc opcn-sourcetool die 
kan werken met veel MTA's. Op een 
goed beheerd systeem zorgt her met 
de snellc en rclatief gt>ed betrouwba- 
re virusscanner ClamAV voor cen 
stabiele opiossing, die bedrijfsnet- 
werken kan beschermen tegen ge- 
vaarlijke en overbodige e-mails. 
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Multicore-systemen 


Dc slrijd ojTj dc' muiticorcs is nu echt begonnen! Niet allecn 
AMD cn fnleL maarook IBM. HB. SGI en Sim pbiilseTi meer 
dan ^cn processor op cen ctiip. Maar wat h nu eigenlijk hci nut 
cn docl van dc/c tecbniek? 


iX 3 verschijnt op 20 juni 


Teamwork 

Visual Studio is in wezen ecn IDE voor individualisten. In combi- 
natie met de nieuwe Team Foundation Server als onderdeel van 
Visual Studio Team System vormt hct thans de basis voor het be- 
heer van de lotale levenscycliis van bedrijfsapplicatics in ecn ont- 
wikkellcam. 


Migreren van Domino naar Exchange 

Je bedrijfskritische comniunicatieplatform omgooicn is niel ids 
wat je zomaar even doet* iX geeft tips voor een goede analyse, 
planning en uitvoering voor als het er toch van mod komen. 

RFID-systemen 

Bedrijven en consumemen komen vroeg of laai in aanraking met 
RFID. Vot)r de ecn betekent dit een beter overzicht van zijn artike- 
len, voor de andcr ecn mcthode om klanten op hun wenken te be- 
dienen- Het wachten is nog op de overkoepelende standaarden. 



Licht uit, spot aon 


Apple iniroducccrdc ^allaf versie Mac OS X 10.4 de desktop- 
zoekmachine Spotlight. Dtxir hd indexeren san mdadaia en in* 
houdsgegeven^^ ahmede s\steemoverknepeiende zockmogelijk- 
hcdcn wil hd gcbruikcrs verlossen van de beperkingen van hie* 
rarchische bectandssvstemen. 



Java Server Faces 

Java-gebaseerde webframeworks 
zijn er al sinds dc invoering van 
servlet- en jsp-api’s in allerlei 
soorten en niaten. Wat ze met el- 
kaar gemecn hebben is dat het al- 
lemaal proprielaire oplossingen 
zijn> Eind 2004 bracht Sim daar 
verandcring in md Java Server 
Faces, In een driedelige tytorial 
laten we je kennismaken met deze 
fabrikantonalhankelijke sian* 
daard. 
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trvaar de hteuwe standaard 
in hosting 




SGfUGf 


Active Server Hosting 


/ actiuGi 


Voiledige flexibiliteit en controle vanaf € 30,- p/m 






Colocated Server Hosting 

Uw eigen server in onze superieure 
en extreem beveiligde netwerk 
infrastructuur 

Dedicated Server Hosting 

Maak gebruik van onze razendsnelle 
servers met meer controle, flexibiliteit 
en veiiigheid 


V Enterprise Server Hosting 

Voiledige maatwerk hosting opiossingen 
voor bedrijfs-kritische applicaties 



0800-2266666 - WWW.ACTIVE24.NL POWERFUL HOSTING - SURPRISINGLY EASY 

nOMFirj WEBHQSIiNC£.VIAII FOTfl Al Rl iM Rl nr. <;iIE.BUJI HFB ANTIVIPI IS UY.ACCQUMI- 
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Interconnect 


connectiag your busini 


kuhKf^<S5ntact 01 


met onze 







































































































